OWASP发布10大开源软件风险清单

3月20日，xz-utils 项目被爆植入后门震惊了整个开源社区，2021 年 Apache Log4j 漏洞事件依旧历历在目。倘若该后门未被及时发现，那么将很有可能成为影响最大的软件供应链漏洞之一。近几年爆发的一系列供应链漏洞和风险，使得“加强开源软件（OSS）安全”的呼声越来越高，以维护脆弱的现在数字生态系统。基于此，OWASP发布了开源软件风险清单TOP 10，旨在解决帮助企业用户更好地解决开源软件组件安全问题，帮助安全从业者更成熟地治理和安全使用OSS。风险清单TOP 10由Endor Labs首创，该公司专注于OSS安全、CI/CD管道和漏洞管理、软件供应链安全等。传统漏洞管理获取已知漏洞的渠道，CVE漏洞库通常是重点关注来源之一，但越来越多的网安从业者都意识到，已知漏洞是风险的滞后性指标。为了更好地应对风险，管理开源软件漏洞，网安人必须关注风险 ………………………………