H1：在[QCon London 2025]讨论管理开源依赖风险

• 主要观点：Vulnerability Manager Celine Pypaert 探讨在保持创新势头的同时管理开源依赖风险，提出三部分蓝图。
• 关键信息：96%商业代码库有开源组件，如[2024 年 Black Duck 报告]所述；提及[XZ Utils 后门]和[Left-pad 事件]等安全 incident；强调对日常使用事物的隐性信任；提出管理开源依赖的三部分蓝图。

• 重要细节：

  • 开始时识别和优先处理漏洞，推荐使用[SCA 工具]在测试环境中早期发现漏洞。
  • 采用结构化策略处理大量漏洞，先处理关键高影响问题，再逐步处理低优先级问题。
  • 明确所有权和问责制，寻求安全团队帮助，利用风险登记获得高管关注。
  • 构建风险 profile 以连接业务连续性和漏洞管理，减少技术债务。
  • 最后强调将安全修复从被动转为主动，尽可能自动化安全任务，如将漏洞检测自动导入项目管理工具。

总结：Celine Pypaert 在 QCon London 2025 提出管理开源依赖风险的蓝图，包括识别漏洞、明确责任和自动化修复等方面，以平衡创新与安全。