头图

开源代码安全 | 微软是如何应对开源代码安全问题的?

图片

微软公司在全球都享有盛名,拥有庞大的员工数量,其中包括了约8.5万名软件开发人员。同时,这也带来了相当多的开源代码的引入。为了保证这些开源软件包的安全,他们需要一款报警准确、易于使用,并能为修复提供可行性建议的工具。阅读本篇文章,您能了解到微软选择了什么样的工具,以及为何选择。

龙智作为DevSecOps解决方案提供商、Mend(原WhiteSource)授权合作伙伴,始终关注开源代码安全问题,致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们,了解如何通过SCA工具Mend解决开源代码安全问题。

图片

图片
微软是全球最著名的公司之一。主要生产计算机软件、消费类电子产品和个人电脑,提供如云服务等相关服务。微软在全球拥有18.1万名员工,其中包括约8.5万名软件开发人员。

面临的挑战

微软的开发人员使用了很多开源软件。在微软的整个代码库中,有超过8万个不同的开源软件包被使用了超过1100万次。

为了帮助微软的85,000名开发人员能够安心地使用开源软件,微软1ES团队——一个选择和管理微软开发人员所使用的工具的团队,负责寻找最好的开源软件安全工具。他们想要一个非常准确、易于使用,并能够为修复脆弱的开源包提供可行性建议的工具。

微软为什么选择Mend解决方案

微软选择Mend有几个原因:

  • 高精准度。微软1ES团队的工程总监马格努斯·赫德伦德表示:“让开发人员失去信任最简单的方式就是给他们一个误报信息。如果出现误报的情况,开发人员就不会再使用这个工具。现在,微软依靠Mend来提供高质量的建议,而且误报率非常低。”
  • 易用性。马格努斯·赫德伦德说:“我们将修补漏洞检测直接集成到开发人员的工作流程中。开发人员无需做任何事,Mend就会自动扫描漏洞,并通知他们哪些代码易受攻击。”
  • 高效的补救建议。“识别这些漏洞,并告诉开发人员他们面临这个问题,这都是很有用的,但如果不告诉他们如何修复这个问题,他们就很难提高交付质量。”如果没有补救建议,只是提高没人能处理的警报的数量,这毫无意义。Mend提供的详细补救建议,让微软工程师能够快速将他们的软件包升级到更强健的版本。”
“对我们来说,与一家紧跟行业新趋势的公司合作非常重要,要确保他们的数据是准确的。但最重要的方面之一是我们得到的数据需是可操作的。我们需要得到一套系统性的、正确的建议。”

Mend给微软带来了什么?

微软1ES安全工具组的经理布莱恩·沙利文说:“Mend在帮助识别我们哪里有潜在风险或不安全的开源软件,并尽早解决这些问题方面发挥着不可或缺的作用。我们依靠Mend提供出色的补救指导。补救指导对于帮助开发人员每次都正确地修复问题非常重要。”

微软1ES团队的主管普南·古普塔说:“与Mend公司合作是一个正确的决定。当我们有了系统的正确建议时,感觉更安心了。Mend所能提供的已经超出了我们的需求,它扩展到了我们想要覆盖的生态系统中。总的来说,与Mend公司合作是一个伟大的决定。”

Mend——您编码,我修复

Mend,原 WhiteSource,可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担,让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面,Mend的口碑一向很好,所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户,其中包括25%的《财富》100强公司。

如需了解更多关于开源代码检测工具Mend的详细信息,请联系Mend中国授权合作伙伴——龙智,我们为您提供Mend从咨询、销售、培训、实施部署、运维、技术支持到定制开发的全方位服务:
官网:www.shdsd.com
电话:400-666-7732
邮箱:marketing@shdsd.com

分享DevSecOps解决方案最新动态,帮助您学习与使用Atlassian, Perforce, Whitesource, Cloudbees及龙智...

1 声望
1 粉丝
0 条评论
推荐阅读
Atlassian Server用户新选择 | 迁移到数据中心版前,您需要做这些准备(1)
2024年2月,也就是一年不到,Atlassian将终止对Server产品及插件的所有支持。此公告发布后,许多用户需要了解怎样的前进方向才是最适合企业的。为此,Atlassian不仅提供云版,还提供了本地部署的数据中心(Data C...

龙智DevSecOps阅读 68

封面图
祝贺姜宁连任 2023 Apache 软件基金会董事
在刚刚结束的 ASF Annual Meeting 上,2023 年新任董事会成员诞生了。Apache 软件基金会通过官方 blog 向大家公布了新一任董事的选举成果。

鸣飞4阅读 7.6k评论 1

姜宁 ASF 2022 董事竞选宣言:我希望能够帮助 ASF 打破地域、文化、语言的障碍
在刚刚结束的 ASF Annual Meeting 上,2022 年新任 ASF Member 及董事会成员诞生了。Apache 软件基金会通过官方 blog 向大家公布了新一任董事的选举成果。Apache 软件基金会孵化器导师,ALC Beijing 发起人,华为...

鸣飞4阅读 12.3k

封面图
张晋涛:我的 2022 总结
大家好,我是张晋涛。2022 年已经结束,我每年都会惯例的做个小回顾,今年因为阳了在恢复身体,一直拖到了今天才写。生活在 2022 年初做回顾的时候,觉得 2021 是魔幻的一年,但现在看来 2022 年其实更加魔幻。一...

张晋涛6阅读 1.1k评论 2

封面图
阿里云被曝 UI 抄袭,复刻 SkyWalking Trace Profiling 页面
2023 年 1 月 3 日,SkyWalking 官网发布消息,称阿里云抄袭了 SkyWalking Trace Profiling 整体页面 UI,包括页面布局、文字和分析任务设置,唯一的区别仅有颜色方案。

鸣飞5阅读 5.4k

权威发布丨2022 中国开源先锋 33 人之心尖上的开源人物
开源社主办的 COSCon'22 中国开源年会上,我们也以「开源站在十字路口」为主论坛主题展开了讨论。面对机遇与挑战并存,分裂与合作共生,风云变幻的世界,我们该何去何从?且看开源先锋们「榜样的力量」!

SegmentFault思否2阅读 2.2k

封面图
姜宁 ASF 2023 董事竞选宣言:成为开源世界的催化剂和变革者
在刚刚结束的 ASF Annual Meeting 上,2023 年新任 ASF Member 及董事会成员诞生了。Apache 软件基金会通过官方 blog 向大家公布了新一任董事的选举成果。Apache 软件基金会孵化器导师,ALC Beijing 发起人姜宁连...

波波Nadia2阅读 991

分享DevSecOps解决方案最新动态,帮助您学习与使用Atlassian, Perforce, Whitesource, Cloudbees及龙智...

1 声望
1 粉丝
宣传栏