谷歌创建了“开源维护团队”，以帮助保护关键项目

谷歌周四宣布成立一支新的“开源维护团队”，致力于加强关键开源项目的安全性。

此外，这家科技巨头指出，开源洞察是一种分析软件包及其依赖关系图的工具，可用于确定“依赖关系中的漏洞是否会影响您的代码”

该公司表示：“有了这些信息，开发人员可以了解他们的软件是如何组合在一起的，以及它们的依赖关系发生变化的后果。”

随着一系列旨在破坏开发人员工作流程的供应链攻击事件的发生，开源软件生态系统的安全性和信任性越来越受到质疑。

2021 12月，无处不在的开源Log4j日志库中存在一个严重缺陷，导致数家公司争先恐后地修补其系统，以防潜在的滥用。

此外，在开源安全基金会（OpenSSF）宣布对上传到流行开源存储库的所有软件包进行动态分析的软件包分析项目后不到两周，该项目就发布了。