知悉、预防、修复：谷歌提出安全漏洞处理新框架

蓝天二号

为了帮助业界提升针对开源安全漏洞的应对能力，搜索巨头谷歌提出了一个名为“知悉、预防、修复”的新框架。相关工作主要围绕元数据、一致性标准、以及新的开发流程等方面而展开，以确保对基础结构的关键部分展开充分的代码审查。如此一来，该框架有望深入了解软件中的现有漏洞、防止引入新的缺陷、然后实施修复或剔除漏洞。

其中一些具体的项目，包括了用于访问多个漏洞数据库、精准追踪软件依赖关系的标准架构。

漏洞管理的目标

开发者可据此了解使用新依赖关系的安全风险，以及向相关方予以适当通报、帮助其加速漏洞的发现与修复。

针对重要开源项目的特定目标建议

此外谷歌建议不要对“关键软件”实施任何单方面的修改，确保所涉及的代码能够接受原作者和其它审阅者的评估，以防对任何一方产生限制和不利影响。

感兴趣的朋友，可移步至谷歌开源博客查看全文传送门