Open Source Security

Dans cette section

Articles liés

C++ in the wild: Which industries use C++?Software Bill Of Materials (SBOM) Explained: Why SBOMs are essential for cybersecurity Fintech cybersecurity: How to build securely with open source 5 potential risks of open source software Static Code Analysis Explained How to perform static code analysis SCA & Enterprise Vulnerability Management

Why are there no incentives for security in Open Source?

Securing Open Source pipeline using Plug-n-Play Scanning Why can’t we simply add a button that does X?

Vous voulez l’essayer par vous-même ?

Réservez une démo en ligne

Why are there no incentives for security in Open Source?

0 minutes de lecture

| SnykCon Talk |

Matteo Collina, Technical Director, Nearform

Open Source has both “won” and “lost” at the same time. Every company in the world leverages Open Source Software (OSS) to build products. However, every software is vulnerable, and OSS is no exception. Yet, despite the strong incentive for companies all over the world to discover and fix them, the majority use open source without paying for it.

Security scanners allow companies to discover vulnerable OSS they depend upon, but those vulnerabilities should also be fixed. While there are some incentives for discovering security vulnerabilities via bounty programs, there are none to fix them. A typical email to an OSS maintainer is more like a threat: if you do not fix it in the next month or so, I am going to make this public.

In Node.js we have experimented with a public bounty program with GitHub, and several companies sponsor full-time researchers to discover vulnerabilities. However, the OSS maintainers receive no compensation for their time in fixing the vulnerability. How can we solve this conundrum?

Want to check your own projects for Open Source vulnerabilities? You can automatically find, prioritize and fix vulnerabilities in your open source dependencies with Snyk.

Up Next

Securing Open Source pipeline using Plug-n-Play Scanning

Learn how Salesforce automates internal tasks and security tickets to secure their open source pipelines with plug-n-play scanning.

Poursuivre la lecture

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitement Réservez une démo en ligne

Produit

Ressources

Documentation Documents sur l’API Snyk Statut de l’API Vulnérabilités divulguées Portail de support et FAQ Blog Principes fondamentaux de la sécurité Ressources pour les leaders de la sécurité Ressources pour les hackers éthiques Base de données des vulnérabilités Snyk OSS Advisor Top 10 de Snyk Vidéos Ressources client

Société

À propos Clients Carrières Événements Snyk pour le secteur public Dossier de presse Sécurité et confiance Mentions légales Confidentialité Pour les résidents de Californie : Ne vendez pas mes informations à caractère personnel Conditions d'utilisation du site web

Connexion

Réservez une démo en ligne Contactez-nous Support Signaler une nouvelle vulnérabilité

Sécurité

Sécurité des applications Sécurité des conteneurs Sécurité de la chaîne d’approvisionnement Sécurité Javascript Sécurité open source Sécurité AWS SDLC sécurisé Posture de sécurité Code sécurisé Hacking éthique L’IA dans la cybersécurité Vérificateur de code Python Cybersécurité en entreprise JavaScript Snyk With GitHub Comparaison Snyk/Veracode Snyk vs Checkmarx

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles