在現代軟件開(kāi)發(fā)中,開(kāi)源的使用已經(jīng)很普遍。企業(yè)需要進(jìn)行開(kāi)源合規及安全管控治理,從公司層面進(jìn)行全局部署,憑借可靠的工具進(jìn)行自動(dòng)化開(kāi)源管理,以交付可信的產(chǎn)品。
新思科技(Synopsys)近日應邀參加"OSCAR開(kāi)源先鋒日"大會(huì )主題演講,在中國首次公開(kāi)分享了《2022年開(kāi)源安全和風(fēng)險分析》報告(OSSRA)的重點(diǎn)發(fā)現,并與業(yè)界聚焦開(kāi)源治理的應用落地和趨勢,進(jìn)行深度探討。新思科技在開(kāi)源管理領(lǐng)域擁有豐富經(jīng)驗,幫助團隊管理在應用和容器中使用開(kāi)源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規性風(fēng)險。此次,新思科技也深入參與了該行業(yè)大會(huì ),包括共同編寫(xiě)《開(kāi)源安全深度觀(guān)察報告》、《開(kāi)源合規指南(企業(yè)版)》,以及參加最新可信開(kāi)源治理工具評估。
本次大會(huì )由中國信息通信研究院(以下簡(jiǎn)稱(chēng)"信通院")和中國通信標準化協(xié)會(huì )主辦,云計算標準和開(kāi)源推進(jìn)委員會(huì )支持,云計算開(kāi)源產(chǎn)業(yè)聯(lián)盟(OSCAR)承辦,旨在推動(dòng)建立中國可信開(kāi)源生態(tài)。
新思科技助力發(fā)布《開(kāi)源安全深度觀(guān)察報告》和《開(kāi)源合規指南(企業(yè)版)》
這兩份報告均由中國信通院牽頭編寫(xiě)。《開(kāi)源安全深度觀(guān)察報告》梳理了主流的開(kāi)源安全風(fēng)險,從開(kāi)源社區和開(kāi)源用戶(hù)兩個(gè)角度提供開(kāi)源安全的防范建議;《開(kāi)源合規指南(企業(yè)版)》側重研究國內外開(kāi)源合規發(fā)展現狀,通過(guò)分享理論知識與優(yōu)秀實(shí)踐,旨在幫助企業(yè)提升內部開(kāi)源合規管控能力。
新思科技是兩份報告的參編單位之一,提供了OSSRA報告最新發(fā)現,并通過(guò)全球視野和豐富企業(yè)級最佳實(shí)踐,為信通院編寫(xiě)行業(yè)報告提供可靠的數據和洞察,助力信通院協(xié)助合作單位安全和高效地使用及管理開(kāi)源組件,為中國業(yè)界樹(shù)立應用標桿。
2022年OSSRA報告覆蓋物聯(lián)網(wǎng)、能源與清潔技術(shù)、金融服務(wù)和金融科技、教育科技、零售和電子商務(wù)、營(yíng)銷(xiāo)科技等17個(gè)行業(yè)。研究發(fā)現,計算機硬件和半導體、網(wǎng)絡(luò )安全、能源與清潔科技、物聯(lián)網(wǎng)四個(gè)行業(yè)的代碼庫中100%包含開(kāi)源代碼。其余的垂直行業(yè)有93%到99%的代碼庫中包含開(kāi)源代碼。即使比例最低的行業(yè)-醫療保健、健康科技和生命科學(xué)-也仍然有高達93%代碼庫包含開(kāi)源軟件。
新思科技中國區軟件應用安全技術(shù)總監楊國梁表示:"開(kāi)源代碼在各行各業(yè)的代碼庫中占比很高,而且很大一部分代碼庫容易被利用和攻擊。開(kāi)源安全現在已經(jīng)成為全球化挑戰,存在開(kāi)源安全漏洞、后門(mén)植入、供應鏈攻擊、隱私信息泄露等問(wèn)題。企業(yè)需要有方向、持續地提升自身開(kāi)源安全能力,以安全地使用開(kāi)源軟件,并更好地應對開(kāi)源安全威脅。"
Black Duck通過(guò)最新可信開(kāi)源評估
中國信通院在"OSCAR開(kāi)源先鋒日"上發(fā)布了可信開(kāi)源治理工具(SCA)評估等最新一批開(kāi)源評估結果,為中國開(kāi)源市場(chǎng)的良性發(fā)展提供指引。新思科技Black Duck軟件組成分析工具在此次嚴苛的評估中表現優(yōu)異。
可信開(kāi)源治理工具(SCA)評估內容涵蓋基本能力、技術(shù)支持能力、易用性、部署能力、安全性以及兼容性,幫助規范和提升開(kāi)源治理工具質(zhì)量,同時(shí)適用于采購此類(lèi)工具的開(kāi)源用戶(hù),幫助用戶(hù)企業(yè)采購此類(lèi)工具作為選型參考。
Black Duck軟件組成分析實(shí)現以下功能全覆蓋:
- 多語(yǔ)言的支持能力
- 文件特征值識別、依賴(lài)識別、代碼片段識別、加密算法識別、二進(jìn)制文件識別的支持能力
- 掃描結果包括開(kāi)源組件許可證信息,安全漏洞信息,漏洞修復建議的支持能力
- 開(kāi)源組件新增漏洞預警信息提示
- 持續集成,分布式部署,并發(fā)掃描,彈性擴容能力
- 數據傳輸安全,用戶(hù)信息保護,安全監測能力
新思科技開(kāi)源治理專(zhuān)家王永雷表示:"隨著(zhù)開(kāi)源供應鏈安全越來(lái)越引起企業(yè)的重視,開(kāi)源組件的識別的依賴(lài)組件深度成為開(kāi)源治理非常重要的一個(gè)環(huán)節。此次,新思科技開(kāi)啟了10倍深度探測功能,以更加精確地識別依賴(lài)組件。這種隱藏在冰山之下的依賴(lài)開(kāi)源組件風(fēng)險需要希望引起大家的重視。此外,開(kāi)源合規風(fēng)險依然嚴重,而且使用過(guò)期開(kāi)源組件版本的情況非常的普遍。這些會(huì )引起侵權、系統不穩定、維護成本提高或者易受攻擊的風(fēng)險增加。現在,開(kāi)源無(wú)處不在,我們需要對其使用進(jìn)行妥善管理,才能構建可信開(kāi)源生態(tài)。"
