業界のリーダーがオープンソースセキュリティにアプローチする方法 – darkreading.com

オープンソースのセキュリティをスペクトルとして考えると、一方の端に「セキュリティ制御なし」、もう一方の端に「ロックダウン制御」があるため、技術的に高度な組織は中間に位置する傾向があります。
リーダーは一緒になって、セキュリティリスクとイノベーションの見返りのトレードオフを検討し、オープンソースソフトウェアを使用するための許容可能なリスクレベルを定義するためのフレームワークを作成する必要があります。
そのため、セキュリティに対してプロアクティブなアプローチを取り、明確なリスクパラメータを設定し、違反が発生した場合に予防策を先制的に実装する必要があります。
まず、セキュリティがボックスチェックの演習になるリスクがあります。
データサイエンティストがCVEスコアが6以下のパッケージのみを使用できるようにする自動フィルターを設定すると、スコアが7であるが、特定の使用では脆弱性が明らかにならない主要な機能を備えたパッケージを見逃す可能性があります。
オープンソースプロジェクトをフォークし、フォークを社内に持ち込むことで、コードの配布をより厳密に制御できるため、セキュリティの問題を軽減できると考えたくなるかもしれません。