為了幫助業界提升針對開源安全漏洞的應對能力，搜索巨頭谷歌提出了一個名為“知悉、預防、修復”的新框架。相關工作主要圍繞元數據、一致性標準、以及新的開發流程等方面而展開，以確保對基礎結構的關鍵部分展開充分的代碼審查。如此一來，該框架有望深入了解軟件中的現有漏洞、防止引入新的缺陷、然後實施修復或剔除漏洞。

（來自：Google Open Source Blog）

其中一些具體的項目，包括了用於訪問多個漏洞數據庫、精準追踪軟件依賴關係的標準架構。

漏洞管理的目標

開發者可據此了解使用新依賴關係的安全風險，以及向相關方予以適當通報、幫助其加速漏洞的發現與修復。

針對重要開源項目的特定目標建議

此外谷歌建議不要對“關鍵軟件”實施任何單方面的修改，確保所涉及的代碼能夠接受原作者和其它審閱者的評估，以防對任何一方產生限制和不利影響。

感興趣的朋友，可移步至谷歌開源博客查看全文（傳送門）。