在过去的几个月里,开源社区发生了几起重大事件,引发了人们对开源软件安全性和安全性的重大质疑。我们如何评估目前围绕开源项目和安全发生的事情,如何使这些项目更具可持续性,以及未来我们应该做些什么?
安全问题
从一开始,我们就应该承认两点。第一,软件 爱沙尼亚电话号码数据 是人写的,人也会犯错。这意味着软件中总会存在需要修复的问题。第二,开源软件现在比以往任何时候都更广泛地使用。一旦发现问题,就会影响到更多的组织。
最近的一个例子是 ,这是一个开源日志工具,内置于大量软件项目中。安全问题 发现 最初是在 中,后来人们才意识到问题的严重性,并迅速发布补丁来修复该项目。该问题影响了全球数以万计的组织。值得庆幸的是——根据 研究 的漏洞本身并没有像人们担心的那样被广泛利用。这要归功于开源社区迅速修复了这个问题,以及组织能够快速部署更新。
几周后,两个广泛使用的 库( 和 )被负责维护的人员破坏,导致安装了这些库的应用程序崩溃。他声称他厌倦了其他公司从他的工作中获利。这一事件影响了全球数以万计的网站和应用程序。这些库很快被回滚到没有问题的版本。