12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級OpenSCA技術(shù)開(kāi)源發(fā)布會(huì )在北京泰富酒店如期舉行，以“線(xiàn)上聯(lián)動(dòng)+線(xiàn)下交互”的模式同步進(jìn)行。中國信息通訊研究院、中國網(wǎng)絡(luò )安全產(chǎn)業(yè)聯(lián)盟、國家信息技術(shù)安全研究中心、騰訊安全科恩實(shí)驗室、百度工程效能部效率云、東方通集團、中興通訊、樂(lè )信集團、北京賽博英杰科技有限公司、國浩律師（北京）事務(wù)所等組織機構的專(zhuān)家、學(xué)者、行業(yè)領(lǐng)袖等齊聚現場(chǎng)，共同見(jiàn)證企業(yè)級開(kāi)源治理解決方案「懸鏡源鑒OSS開(kāi)源威脅管控平臺」正式官宣開(kāi)源化。

　　發(fā)布會(huì )現場(chǎng)高潮不斷，精彩紛呈，針對“開(kāi)源軟件”、“供應鏈安全”等熱點(diǎn)帶來(lái)不同角度的學(xué)術(shù)探討與實(shí)踐分享，共同展望開(kāi)源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢。

　　近年來(lái)，隨著(zhù)云計算、AI、IOT等技術(shù)的不斷發(fā)展，IT等信息技術(shù)領(lǐng)域也有了新的突破，可以更好的賦能關(guān)鍵信息基礎設施建設。然而，安全作為主旋律，一直是備受關(guān)注的焦點(diǎn)。一方面，傳統安全防護措施的缺失，對于新型高級威脅缺少防護壁壘；另一方面，開(kāi)源趨勢下，事后防御的手段已不滿(mǎn)足安全需求，“安全左移”下提出了更高的安全需求。

　　尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類(lèi)事件的威脅防護、開(kāi)源安全的風(fēng)險治理是需要大家積極探討的新命題。

　　在本次大會(huì )上，懸鏡安全創(chuàng )始人兼CEO子芽以《用開(kāi)源的方式做開(kāi)源風(fēng)險治理》為主題，圍繞“開(kāi)源”、“風(fēng)險治理”、“OpenSCA”等關(guān)鍵詞做了精彩分享。子芽表示，應用開(kāi)源是大勢所趨，但是避免不了Web通用漏洞、業(yè)務(wù)邏輯漏洞、開(kāi)源成分的缺陷及后門(mén)等漏洞問(wèn)題，而用開(kāi)源的方式做開(kāi)源風(fēng)險治理，可以讓開(kāi)源用多樣性擁抱不確定性，形成開(kāi)源新范式。

　　此次，懸鏡安全對外發(fā)布OpenSCA開(kāi)源技術(shù)，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級SCA產(chǎn)品源鑒OSS開(kāi)源威脅管控平臺的開(kāi)源版本，它繼承了源鑒OSS的多源SCA開(kāi)源應用安全缺陷檢測核心能力。

　　而且，子芽認為，創(chuàng )新的過(guò)程也是價(jià)值迭代創(chuàng )造的過(guò)程，更有利于拓展人類(lèi)認知實(shí)踐的邊界。而且希望用開(kāi)源的方式做開(kāi)源風(fēng)險治理，和大家一起，守護中國軟件供應鏈安全！

　　圖1 懸鏡安全創(chuàng )始人兼CEO子芽分享

　　中興通訊開(kāi)源合規&安全治理總監項曙明以《構建開(kāi)源可信供應鏈實(shí)踐分享》為主題進(jìn)行了分享，開(kāi)源標準體系的不斷落地，行業(yè)應用的不斷實(shí)踐以及客戶(hù)需求的逐漸成熟與清晰，我們不得不意識到開(kāi)源安全治理能力成為企業(yè)必選，逐漸成為了企業(yè)進(jìn)入市場(chǎng)的準入門(mén)檻。企業(yè)應根據所處行業(yè)特點(diǎn)、企業(yè)經(jīng)營(yíng)模式和特點(diǎn)，結合外部環(huán)境及要求，進(jìn)行企業(yè)開(kāi)源風(fēng)險場(chǎng)景分析，制定適合企業(yè)長(cháng)期發(fā)展的開(kāi)源風(fēng)險治理策略，以更加開(kāi)放的商業(yè)姿態(tài)擁抱開(kāi)源。

　

　　圖2  中興通訊開(kāi)源合規&安全治理總監項曙明分享

　　國浩律所（北京）事務(wù)所合伙人胡靜以《開(kāi)源軟件出口管制合規探討》為主題探討了什么是美國出口管制、美國出口管制與開(kāi)源軟件的關(guān)系、出口管制下的開(kāi)源軟件合規思路，解析軟件管理中的長(cháng)轄管理規則，助于我們建立開(kāi)源軟件管理的全球視野與國際化合規認知。

　　

　　圖3  國浩律師事務(wù)所合伙人胡靜分享

　　騰訊安全科恩實(shí)驗室DevSecOps技術(shù)專(zhuān)家趙洪陽(yáng)分享了《以二進(jìn)制SCA為核心的制品掃描》，他指出，制品掃描是重要的質(zhì)量關(guān)卡，同時(shí)也是運營(yíng)、開(kāi)發(fā)過(guò)程重要的安全信息來(lái)源，而制品中也面臨著(zhù)License商業(yè)風(fēng)險、開(kāi)源組件、linux內核漏洞風(fēng)險、敏感信息泄露、系統安全基線(xiàn)等安全問(wèn)題，而以二進(jìn)制SCA為核心，檢測安全風(fēng)險，可以保障檢出率。主要從5個(gè)方面入手：

　

　　圖4  騰訊安全科恩實(shí)驗室DevSecOps技術(shù)專(zhuān)家趙洪陽(yáng)分享

　　樂(lè )信集團信息安全總監劉志誠以《生態(tài)閉環(huán)治理開(kāi)源供應鏈安全》為主題做了精彩分享，他提出在開(kāi)源軟件的生命周期管理中，應該做好引入前、引入后、事件響應三個(gè)階段的準備工作，做好安全風(fēng)險的評估與治理，應急演練，風(fēng)險轉移工作，避免技術(shù)（漏洞驗證、漏洞分析、緩解措施、代碼修復）、資源（可持續性評估、應急響應、風(fēng)險轉移）帶來(lái)的安全難題，共建保險、共享、社區的安全新生態(tài)，形成安全閉環(huán)。

　　圖5 樂(lè )信集團信息安全總監劉志誠分享

　　中國信息通信研究院云大所云計算部副主任郭雪以《開(kāi)源風(fēng)險現狀分析與SCA標準解讀》對開(kāi)源、開(kāi)源組成要素、發(fā)展歷程、產(chǎn)業(yè)發(fā)展等方向做了解讀，數據顯示，全球開(kāi)源項目數量和我國開(kāi)源項目數量都呈現了較大的增長(cháng)，然而也面臨著(zhù)技術(shù)與運維、管理風(fēng)險等可以預見(jiàn)但是無(wú)法規避的困難與挑戰，針對這一現象國家不斷推出了開(kāi)源相關(guān)政策，大力認可開(kāi)源帶來(lái)的生態(tài)價(jià)值和產(chǎn)業(yè)價(jià)值。最后，郭主任系統解讀了信通院依據開(kāi)源生命周期建立的可信開(kāi)源標準體系，幫助大家對開(kāi)源的有序發(fā)展及體系化、標準化運營(yíng)建立了更加清晰的框架性認知。

　　

　　圖6 中國信息通信研究院云大所云計算部副主任郭雪分享

　　當前，開(kāi)源已覆蓋軟件開(kāi)發(fā)的全域場(chǎng)景，正在構建新的軟件技術(shù)創(chuàng )新體系，引領(lǐng)新一代信息技術(shù)創(chuàng )新發(fā)展。據不完全統計，全球97%的軟件開(kāi)發(fā)者和99%的企業(yè)使用開(kāi)源軟件，基礎軟件、工業(yè)軟件、新興平臺軟件大多基于開(kāi)源，開(kāi)源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng )新源泉和“標準件庫”。與此同時(shí)，開(kāi)源許可證的兼容性問(wèn)題、開(kāi)源項目的合規問(wèn)題、開(kāi)源安全漏洞問(wèn)題和開(kāi)源知識產(chǎn)權的侵權等問(wèn)題也日趨凸顯。

　　任何問(wèn)題的出現，總要找到相應的解決方案！懸鏡安全數十位來(lái)自北大的科研人員、行業(yè)專(zhuān)家智庫，歷時(shí)26280個(gè)小時(shí)潛心打磨，提出了“用開(kāi)源的方式做開(kāi)源風(fēng)險治理”，希望用簡(jiǎn)單的配置即可完成對開(kāi)源組件所使用的成分進(jìn)行檢測，深度挖掘組件中潛藏的各類(lèi)安全漏洞及開(kāi)源協(xié)議風(fēng)險，助力企業(yè)進(jìn)行開(kāi)源風(fēng)險的識別及治理。

　　未來(lái)，懸鏡安全將依托軟件供應鏈安全技術(shù)，布局開(kāi)源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構筑行業(yè)安全生產(chǎn)線(xiàn)，不斷拓展人類(lèi)認知實(shí)踐的邊界，在更大的范圍幫助更多的企業(yè)實(shí)現開(kāi)源風(fēng)險治理，助力開(kāi)源生態(tài)健康有序發(fā)展。