現(xiàn)在,,開源無處不在。開源安全已經(jīng)成為供應鏈安全中的重要一環(huán),,企業(yè)需要從流程管理,、安全防護等多個方面進行管控,妥善管理開源使用,,以確保開源軟件的安全性,。
新思科技(Synopsys)近日應邀參加 “OSCAR開源先鋒日”大會主題演講,在中國首次公開分享了《2022年開源安全和風險分析》報告(OSSRA)的重點發(fā)現(xiàn),,并與業(yè)界聚焦開源治理的應用落地和趨勢,,進行深度探討。新思科技在開源管理領域擁有豐富經(jīng)驗,,幫助團隊管理在應用和容器中使用開源和第三方代碼所帶來的安全、質(zhì)量和許可證合規(guī)性風險,。此次,,新思科技也深入?yún)⑴c了該行業(yè)大會,包括共同編寫《開源安全深度觀察報告》,、《開源合規(guī)指南(企業(yè)版)》,,以及參加最新可信開源治理工具評估。
本次大會由中國信息通信研究院(以下簡稱“信通院”)和中國通信標準化協(xié)會主辦,,云計算標準和開源推進委員會支持,,云計算開源產(chǎn)業(yè)聯(lián)盟(OSCAR)承辦,旨在推動建立中國可信開源生態(tài),。
新思科技助力發(fā)布《開源安全深度觀察報告》和《開源合規(guī)指南(企業(yè)版)》
這兩份報告均由中國信通院牽頭編寫,。《開源安全深度觀察報告》梳理了主流的開源安全風險,,從開源社區(qū)和開源用戶兩個角度提供開源安全的防范建議,;《開源合規(guī)指南(企業(yè)版)》側重研究國內(nèi)外開源合規(guī)發(fā)展現(xiàn)狀,通過分享理論知識與優(yōu)秀實踐,,旨在幫助企業(yè)提升內(nèi)部開源合規(guī)管控能力,。
新思科技是兩份報告的參編單位之一,,提供了OSSRA報告最新發(fā)現(xiàn),并通過全球視野和豐富企業(yè)級最佳實踐,,為信通院編寫行業(yè)報告提供可靠的數(shù)據(jù)和洞察,,助力信通院協(xié)助合作單位安全和高效地使用及管理開源組件,為中國業(yè)界樹立應用標桿,。
2022年OSSRA報告覆蓋物聯(lián)網(wǎng),、能源與清潔技術、金融服務和金融科技,、教育科技,、零售和電子商務、營銷科技等17個行業(yè),。研究發(fā)現(xiàn),,計算機硬件和半導體、網(wǎng)絡安全,、能源與清潔科技,、物聯(lián)網(wǎng)四個行業(yè)的代碼庫中100%包含開源代碼。其余的垂直行業(yè)有93%到99%的代碼庫中包含開源代碼,。即使比例最低的行業(yè) — 醫(yī)療保健,、健康科技和生命科學 — 也仍然有高達93%代碼庫包含開源軟件。
新思科技中國區(qū)軟件應用安全技術總監(jiān)楊國梁表示:“開源代碼在各行各業(yè)的代碼庫中占比很高,,而且很大一部分代碼庫容易被利用和攻擊,。開源安全現(xiàn)在已經(jīng)成為全球化挑戰(zhàn),存在開源安全漏洞,、后門植入,、供應鏈攻擊、隱私信息泄露等問題,。企業(yè)需要有方向,、持續(xù)地提升自身開源安全能力,以安全地使用開源軟件,,并更好地應對開源安全威脅,。”
Black Duck通過最新可信開源評估
中國信通院在“OSCAR開源先鋒日”上發(fā)布了可信開源治理工具(SCA)評估等最新一批開源評估結果,,為中國開源市場的良性發(fā)展提供指引,。新思科技Black Duck軟件組成分析工具在此次嚴苛的評估中表現(xiàn)優(yōu)異。
可信開源治理工具(SCA)評估內(nèi)容涵蓋基本能力,、技術支持能力,、易用性、部署能力、安全性以及兼容性,,幫助規(guī)范和提升開源治理工具質(zhì)量,,同時適用于采購此類工具的開源用戶,幫助用戶企業(yè)采購此類工具作為選型參考,。
Black Duck軟件組成分析實現(xiàn)以下功能全覆蓋:
? 多語言的支持能力
? 文件特征值識別,、依賴識別、代碼片段識別,、加密算法識別,、二進制文件識別的支持能力
? 掃描結果包括開源組件許可證信息,安全漏洞信息,,漏洞修復建議的支持能力
? 開源組件新增漏洞預警信息提示
? 持續(xù)集成,,分布式部署,并發(fā)掃描,,彈性擴容能力
? 數(shù)據(jù)傳輸安全,,用戶信息保護,安全監(jiān)測能力
新思科技開源治理專家王永雷表示:“隨著開源供應鏈安全越來越引起企業(yè)的重視,,開源組件的識別的依賴組件深度成為開源治理非常重要的一個環(huán)節(jié),。此次,新思科技開啟了10倍深度探測功能,,以更加精確地識別依賴組件,。這種隱藏在冰山之下的依賴開源組件風險需要希望引起大家的重視。此外,,開源合規(guī)風險依然嚴重,,而且使用過期開源組件版本的情況非常的普遍。這些會引起侵權,、系統(tǒng)不穩(wěn)定,、維護成本提高或者易受攻擊的風險增加。現(xiàn)在,,開源無處不在,我們需要對其使用進行妥善管理,,才能構建可信開源生態(tài),。”