H3：[QCon London 2025 会议讨论]

• Johnson Matthey 的漏洞经理 Celine Pypaert 在该会议讨论了在保持创新势头的同时管理开源依赖风险。
• 描述了处理如今广泛使用开源依赖所带来安全挑战的三部分蓝图。

H3：[开源组件使用现状]

• 2024 年 Black Duck 报告称 96%的商业代码库中存在开源组件。
• 人们易对日常使用的软件产生信任，如近期的 XZ Utils 后门和 Left-pad 事件。

H3：[管理开源依赖的蓝图]

• 第一部分：识别和确定漏洞优先级，推荐组织使用 SCA 工具查找和审计开源依赖，甚至在测试环境中进行，先处理关键或高影响的前 5 个左右问题，再制定长期计划处理低优先级问题。
• 第二部分：所有权和问责制，解决开源库引入时的责任归属问题，寻求安全团队帮助，使用风险登记册引起高管关注，展示技术风险与组织风险的关联。
• 第三部分：将安全修复从被动转为主动，尽可能自动化安全任务，如将 GitHub 的 Dependabot 漏洞检测直接导入 Jira 等项目管理工具，自动分配安全票给正确人员，减少摩擦并将安全任务纳入冲刺。

H3：[结尾与作业]

• Pypaert 给参会者布置“作业”，鼓励处于实施过程初期的人开始基本检测、分配和政策起草，然后让其他团队参与，如使用 WAFs 和速率限制等技术暂时隐藏漏洞。