Microsoft의 오픈 소스 보안 이해
오픈 소스 소프트웨어(OSS) 환경은 사용 가능한 구성 요소의 양과 상호 작용의 복잡성 모두에서 빠르게 성장하고 있습니다. Microsoft는 OSS를 사용하여 고객에게 도움이 되는 제품과 서비스를 구축하는 동시에 OSS와 관련된 법적 및 보안 문제를 이해하고 있습니다.
Microsoft는 오픈 소스 보안 관리를 위해 높은 수준의 전략을 채택했습니다. 당사의 오픈 소스 보안 전략은 다음을 위해 설계된 도구와 워크플로를 활용합니다.
- 당사 제품 및 서비스에서 사용되는 오픈 소스 구성 요소를 이해합니다.
- 이러한 구성 요소가 사용되는 위치와 방법을 추적합니다.
- 해당 구성 요소에 취약점이 있는지 확인합니다.
- 해당 구성 요소에 영향을 주는 취약점이 발견되면 적절하게 대응합니다.
구성 요소 거버넌스(CG)
Microsoft 엔지니어링 팀은 제품 또는 서비스에 포함된 모든 오픈 소스 소프트웨어의 보안에 대한 책임을 유지합니다. 이를 대규모로 달성하기 위해 Microsoft는 오픈 소스 감지, 법적 요구 사항 워크플로 및 취약한 구성 요소에 대한 경고를 자동화하는 CG를 통해 엔지니어링 시스템에 필수 기능을 구축했습니다.
Microsoft 엔지니어링 팀은 CG를 사용하여 Microsoft Online Services 소프트웨어 빌드의 오픈 소스 구성 요소와 관련된 보안 취약성 또는 법적 의무를 검색합니다. 새로 검색된 구성 요소는 등록되어 비즈니스 및 보안 검토를 위해 적절한 팀에 제출됩니다. 이러한 검토는 오픈 소스 구성 요소와 관련된 법적 의무 또는 보안 취약성을 평가하고 구성 요소 배포를 승인하기 전에 해결하도록 설계되었습니다.