关于本期博客
随着开源开始吞噬软件,在上下游生态链上任意一环的项目出了问题都会造成深远的影响,从前段时间的 Log4j,到最近 Faker.js 的删库事件...开源在急速扩张,而这些事件中反映出的项目作者与企业用户的矛盾,开源软件维护者孤军奋战的困境,以及组件漏洞披露问题似乎还得不到很好的解决方案。今天我们邀请到软件供应链安全的专家永雷,和我们一起一窥供应链度量的冰山一角。
时间点
02:55 如何看待 Faker.js 和 Log4j 事件?
11:18 开源项目维护者孤军奋战时,开源软件也在摇摇欲坠,如何看待软件作者和(企业)用户之间的拉锯战?
19:12 有哪些可能的预防措施和预后措施来避免项目所依赖的组件库发生类似的悲剧?
26:40 怎样有效地审计,披露,追踪依赖包中存在的漏洞与风险,并进行合适的度量?
35:55 依赖组件库漏洞的识别与分析是供应链安全的重要一环,在漏洞分析和风险度量上有哪些实践?
剪辑:翔宇 文案:欣然
主播
小雅:X-lab实验室成员,研究生在读;
嘉宾
永雷:软件供应链安全方面的专家
Frank:同济大学博士生,X-lab实验室成员
伍玖:X-lab实验室成员
赞助
X-lab实验室
相关链接
Log4j:https://logging.apache.org/log4j/2.x/
Faker.js:https://github.com/faker-js/faker
OpenSSL:https://www.openssl.org/
Open Collective:https://opencollective.com/
听友265678671
主播语速流利,思维清淅