7.11未来之路

虽然开源软件提供了巨大的好处，但许多关注和研究发现，自由/开源软件开发人员在很大程度上没有优先考虑安全性。Linux基金会的OpenSSF和哈佛大学创新科学实验室的一项研究发现，自由/开源软件开发人员平均只花大约2.3%的时间来提高代码的安全性(www.darkreading.com/applicationsecurity/open-source-developers-still-not-interested-in-secure-coding)。

这保证了使用OSS组件的组织采取各种措施，例如在使用之前审查OSS组件，并使用soms来了解与他们的OSS消费相关的漏洞以及这些组件在企业中的位置，因此他们能够更好地响应下一个Log4j类型的情况。

为了获得更具体的指导，组织可以参考NIST的开源软件控制推荐实践，该实践是根据网络安全行政命令(EO) 14028发布的，改善国家网络安全(www.nist.gov/itl/executive-order-14028-improvingnations-cybersecurity/software-security-supply-chains-open)。
这些包括基于组织成熟度的分层能力:基础的、持续的和增强的。在这些层中有一些功能，例如使用SCA源代码审查来识别易受攻击的组件，优先使用带有内置护栏的编程语言，以及在将OSS组件引入生产环境之前，将收集、存储和扫描OSS组件到加固的内部存储库的过程自动化。

现在应该很明显，安全使用OSS或任何软件都没有灵丹妙药或银弹。也就是说，通过人员、流程和技术的正确组合，按照这个顺序，组织可以获得OSS的好处，同时降低使用OSS的风险。