开源网安SourceCheck开源组件安全及合规管理平台通过可信开源评估

2021开源产业大会现场

2021年9月17日，2021 OSCAR开源产业大会如期举办，大会由中国信息通信研究院、中国通信标准化协会联合主办，中国通信标准化协会云计算标准与开源推进委员会承办，本届大会旨在进一步探索我国开源生态发展模式，加速开源技术在国内市场落地，提升企业开源治理能力，推动国内开源生态快速、健康有序发展。

何宝宏所长为通过评估单位颁发证书

开源网安的SourceCheck开源组件安全及合规管理平台（本地部署版）通过了《开源软件组成及安全性审计平台能力要求》评估，也是本次唯一通过评估的开源治理工具。

《开源治理工具 评估证书》

SourceCheck开源组件安全及合规管理平台

SourceCheck 开源组件安全及合规管理平台（本地部署版）于 2021年9月完成可信开源治理工具能力评估，在对开源组件级识别中分析开源组成，分析开源安全性，展示扫描结果，提供扫描报告，提供二次开发接口，更新预警能力，持续集成能力，技术支持能力要求，易用性能力要求，部署能力要求，安全性能力要求，兼容性能力要求，性能，开源组件检出率等14大类均满足可信开源治理工具能力评估要求。

SourceCheck开源组件安全及合规管理平台，是开源网安公司提供的软件成分分析 SCA 产品，用于第三方组件安全管控，能精准识别软件组件安全性、代码及许可合规性，包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

适用于软件安全开发生命周期（S-SDLC）开发阶段与测试阶段的第三方组件安全检测，特别在大型分布式应用项目场景下，SourceCheck平台的部署效率与实施效果更佳，可帮助企业快速管理开源组件资产，及时获取开源组件漏洞情报，有效降低开源组件安全风险，让企业交付更安全的软件。

产品优势

1. OWASP Top 10 使用含有已知漏洞的组件安全风险的最佳解决方案。

2. 开源组件库高覆盖。通过已知漏洞信息，准确实现对企业所用第三方组件的定位和分析，跟踪已识别的第三方组件，持续收集组件的安全威胁。

3. 实时预警。威胁发布第一时间检测企业软件资产，对适用问题组件的对象发布漏洞预警，协助启动应急响应机制。

4.软件资产分布全面可视化。提供企业级、部门级、项目级的资产分布视图，多维度视图资产信息展示，助力使用者快速制定决策，合理规避风险，并提供详细的BOM（Bill Of Materials）清单。

5. 专业合规性检测。提供全面的第三方组件和自研组件的识别定位，对其合规性进行检测规避法律风险，并在安全检测后支撑快速清理和组件升级。

6. 无缝集成。支持IDE、包含Eclipse、IntelliJIDEA，支持主流DevOps工具，包含git（gitlab，gitee，github），svn，jira，jenkins等。

7. 开放式API接口。平台提供各种开放式API，以满足企业内部已有工具的集成需求，赋予更多实用性，能和公司内部管理流程CBB结合。

8. SourceCheck顾问团队。SourceCheck顾问团队长期关注于开源软件的发展形势和新的威胁跟踪，可提供相应的开源组件审计服务。

适用场景

1. 国家大型基础软件规避安全风险

针对国家“自主可控”的信息安全要求，为解决核心软件技术受制于人的现状，在操作系统、大型工业软件、数据库、中间件等核心基础软件方面，国家将实施软件重大工程项目，这些工程从设计、开发、测试阶段到交付验收阶段，需要开展软件成分分析（SCA）工作，需要确保大型基础软件供应链仅包含安全的组件，从而支持安全的应用程序开发和组装。

2. 企业软件安全风险自查

随着开源技术在云计算、大数据、新技术领域的不断运用，让企业快速建立自身的应用，但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。大型公司自有软件项目，产品团队快速交付的产品可能蕴含着巨大风险，这些风险可能导致企业产品受到攻击、公司名誉和声誉受到影响，严重者由于知识产权方面诉讼可能面临企业经营风险。企业需要通过软件成分分析开展自查，避免企业使用开源软件带来的安全风险和法律风险。

3. 研发团队安全自查

研发团队在进行软件项目研发时，关注软件代码中引用的开源软件是否存在高危安全漏洞，目前每年超过4000个安全漏洞从开源软件中被报告出来，且不断递增的趋势，而由于开源软件任何人都可以下载和研究代码中的潜在风险，引用了开源软件的产品软件就更容易受到攻击。为避免项目引入开源组件存在安全风险，需要定期开展开源组件风险自我检查。规避相应安全风险。

4. 软件供应链风险管控

企业和第三方合作，委托开发软件时，对外部交付的组件，交付前需对外部代码的安全性和合规性进行分析，及时发现外部代码的安全性风险和开源许可证的合规性风险，帮助企业规避相应风险，管控第三方供应商交付组件质量。

5. 企业并购、尽调方软件资产核查

在企业并购和尽调项目中，收购方想了解目标企业目前有哪些软件资产，通过识别清单列表记录哪些产品使用了哪些开源组件，一旦某个开源组件出现潜在法律风险，可以通过清单列表迅速排查，为投资方提供客观的决策支持。

6. CBB(公用模块)管理部门

当企业成长到一定规模，产品是基于许多成熟、量产的公用模块搭建成的，CBB ( Common Building Block ，公用模块)是指组成产品(或产品系统、子系统)的、具有一项或多项独立功能、具有稳定结构与标准接口的可重用的单元。

公用模块具备可组合、可替换、可变型等特性，其中开源组件也是CBB管理的内容之一，研发团队不能直接从外部下载开源组件，获取开源组件统一经过CBB部门提供，CBB实现开源组件的统一管理和风险预警，CBB对全公司的开源组件安全和风险负责，实时掌握开源组件的安全和风险状况是确保CBB管理部门支持公司项目的重要指标。

关于开源网安

作为国内领先的软件安全全生命周期（S-SDLC）解决方案提供商，开源网安完全对标“Gartner应用安全测试魔力象限”的领导企业。目前，开源网安自主研发的软件安全测试工具，在产品功能、成熟度、售后服务、支持的运行环境、易用性、可扩展性、可维护性等方面，完全可以替代“Gartner 应用安全测试魔力象限”的领导企业。

公司自主研发的系列化软件安全产品，除了本次通过评估的SourceCheck开源组件安全及合规管理平台，还有灰盒安全测试工具VulHunter、代码审核工具CodeSec、模糊测试工具SFuzz、实时应用自我防护平台RASP、及软件安全全生命周期平台S-SDLC平台，全面覆盖IAST、SAST、SCA、FUZZ、RASP。

开源网安业务全景图

同时，公司还不断深化DevSecOps、软件安全上线检测等技术解决方案，推进5G网络、车联网、人工智能、工业互联网等新技术的软件安全解决方案落地，为中国软件安全产业持续输出产品、技术和解决方案，在快速交付的同时不断提升和保障国内软件安全质量。

未来，开源网安将继续坚持“执着专注、精益求精、一丝不苟、追求卓越”的工匠精神，持续打磨产品，为用户提供更加优质的产品和服务。

— END —