你有没有想过你使用的软件中有哪些例程、子程序、库和例程?你应该。开源方法也需要更多的供应链改进。现在,Tidelift订阅,公司可以获得一种全面的方法来管理、跟踪和管理其开源组件。无论您是使用其他组的开放源代码程序还是您自己的“内部源代码”,这都是有效的。以下是方法:
铺平的道路:组织可以通过定义和管理已知良好的、主动维护的开放源码组件的目录来加速开发并降低安全和许可相关的风险。开发人员可以安全地从中提取,而不必担心延迟部署阻止程序。
清除策略:组织可以在开发生命周期的早期设置并自动实施标准,例如组织的许可证策略。集成体验:Tidelift订阅与现有的源代码和存储库管理工具集成,因此开发人员无需更改其工作流。他们可以直接从命令行提取已批准的组件并提交新组件以供批准。
你不认为这对你的公司很重要,因为你“不使用开源”?噢,求你了!最近的IDC的软件开发和开放源码集团副总裁,他在一份声明中说:“最近的软件供应链安全问题提醒业界,了解软件组件的来源以及能够信任这些组件是多么重要。开放源代码软件无法避免潜在的漏洞,因此让您的软件开发人员轻松访问他们需要的、符合企业标准的组件是非常有意义的。Tidelift将Tidelift订阅扩展到包括已知良好的开放源代码目录,通过在一个位置收集一整套组织所依赖的关键开放源代码组件来满足这一需求。“
如果我今天开发的是开放源代码软件,我一定会踢Tidelift的轮子。这也许正是我们需要你的直到有一天,当我们有了一个什么大卫惠勒,验证的可复制版本。这些是源代码构建,“总是在给定相同输入的情况下生成相同的输出,以便可以验证构建结果。一个经过验证的可复制构建是一个过程,在这个过程中,独立的组织从源代码生成一个构建,并验证构建的结果是否来自所声明的源代码。
我们暂时还不会出现在那里,因此在此期间,类似于一个Tidelift方法的方法是非常有意义的。
相关故事:
