Comprendre la sécurité open source chez Microsoft

Effectué

Le paysage des logiciels open source (OSS) connaît une croissance rapide, à la fois dans la quantité de composants disponibles et dans la complexité de leurs interactions. Microsoft met tout en œuvre pour créer des produits et services qui bénéficient de nos clients, tout en sachant également les défis juridiques et de sécurité associés aux systèmes d’exploitation.

Microsoft a adopté une stratégie de haut niveau pour la gestion de la sécurité Open source. Notre stratégie de sécurité Open source exploite les outils et flux de travail conçus pour :

  • Comprendre les composants Open source utilisés dans nos produits et services.
  • Suivez l’emplacement et la façon dont ces composants sont utilisés.
  • Déterminez si ces composants présentent des vulnérabilités.
  • Répondre correctement lorsque des vulnérabilités sont découvertes et qui affectent ces composants.

Gouvernance des composants (CG)

Les équipes Microsoft Engineering sont responsables de la sécurité de tous les logiciels open source inclus dans un produit ou un service. Pour y parvenir à l’échelle, Microsoft a intégré les fonctionnalités essentielles aux systèmes d’ingénierie via CG, ce qui permet d’automatiser la détection des sources ouvertes, les flux de travail de besoins juridiques et les alertes pour les composants exposés.

Les équipes d’ingénieurs Microsoft utilisent CG pour détecter les composants Open source dans les builds Microsoft 365 Software. Outils CG automatisés Analysez toutes les builds chez Microsoft pour les composants Open source, ainsi que les éventuelles failles de sécurité ou obligations légales associées. Les composants découverts sont enregistrés et envoyés aux équipes appropriées pour les avis d’entreprise et de sécurité. Ces examens sont conçus pour évaluer les obligations légales ou les vulnérabilités de sécurité associées aux composants Open source et les résoudre avant d’approuver les composants à des fins de déploiement.

En savoir plus