随着互联网的高速发展，开源组件日益成为技术研发的重要工作基础。软件市场对功能性需求的激增，与市场的节奏的加快，使得企业对程序员开发效率的要求越来越高，开源组件无疑成为了研发市场上的香饽饽。

但开源组件极大地提高了开发效率的同时，也难以避免地引入了安全风险。

对于开发者来说，等到在安全漏洞披露后再去采取措施修复漏洞，不仅是平添工作压力，对个人工作评估也很不友好。所以，提升引用开源组件安全性就尤为重要。

那么，如何更加安全地使用开源组件，避免研发的软件后续发生安全问题，被追责呢？

本文将以网安云组件知识库检索功能 为例，来跟大家分享：在做组件选型时如何避免引用到不安全组件？

（点击免费使用）

01/  快速检索所选组件的基本信息

通过网安云组件知识库检索功能，快速检索组件版本、漏洞等级、所属国家（来源）、所属语言、源码链接等信息。

掌握组件基本信息与漏洞等级，避免开源组件“背刺”。

平台拥有亿级组件知识库、40w+漏洞量、2000+许可数量。同时，平台安全运营人员实时监控几十类漏洞数据来源，包括：mvnrepository, central repository, npm, pypi等。漏洞数据来源权威，数据实时更新，让组件漏洞查询无遗漏。

02/ 明确漏洞信息，获取修复建议

明确漏洞编号、风险等级等，对组件安全状态清晰了解。

同时，可参考修复意见，获取漏洞编号及补丁获取地址，对漏洞进行修复，减少后续软件被攻破的风险。

03/  获取组件替换方案

根据组件使用建议的风险提醒，重新选择更安全的组件版本。

总的来讲，提升开源组件的安全可控性，最核心的就是把组件这个看不清摸不着的“黑盒子”拆开看。

通过网安云组件知识库检索的功能，把开源组件的安全风险隐患暴露出来。再根据系统提供的安全替换方案以及修复建议，重新做好组件选型或者修复，降低后续软件制品的安全风险。

（点击免费使用）