2021开源产业大会现场
2021年9月17日,2021 OSCAR开源产业大会如期举办,大会由中国信息通信研究院、中国通信标准化协会联合主办,中国通信标准化协会云计算标准与开源推进委员会承办,本届大会旨在进一步探索我国开源生态发展模式,加速开源技术在国内市场落地,提升企业开源治理能力,推动国内开源生态快速、健康有序发展。
何宝宏所长为通过评估单位颁发证书
开源网安的SourceCheck开源组件安全及合规管理平台(本地部署版)通过了《开源软件组成及安全性审计平台能力要求》评估,也是本次唯一通过评估的开源治理工具。
《开源治理工具 评估证书》
SourceCheck开源组件安全及合规管理平台
SourceCheck 开源组件安全及合规管理平台(本地部署版)于 2021年9月完成可信开源治理工具能力评估,在对开源组件级识别中分析开源组成,分析开源安全性,展示扫描结果,提供扫描报告,提供二次开发接口,更新预警能力,持续集成能力,技术支持能力要求,易用性能力要求,部署能力要求,安全性能力要求,兼容性能力要求,性能,开源组件检出率等14大类均满足可信开源治理工具能力评估要求。
SourceCheck开源组件安全及合规管理平台,是开源网安公司提供的软件成分分析 SCA 产品,用于第三方组件安全管控,能精准识别软件组件安全性、代码及许可合规性,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。
适用于软件安全开发生命周期(S-SDLC)开发阶段与测试阶段的第三方组件安全检测,特别在大型分布式应用项目场景下,SourceCheck平台的部署效率与实施效果更佳,可帮助企业快速管理开源组件资产,及时获取开源组件漏洞情报,有效降低开源组件安全风险,让企业交付更安全的软件。
产品优势
1. OWASP Top 10 使用含有已知漏洞的组件安全风险的最佳解决方案。
2. 开源组件库高覆盖。通过已知漏洞信息,准确实现对企业所用第三方组件的定位和分析,跟踪已识别的第三方组件,持续收集组件的安全威胁。
3. 实时预警。威胁发布第一时间检测企业软件资产,对适用问题组件的对象发布漏洞预警,协助启动应急响应机制。
4.软件资产分布全面可视化。提供企业级、部门级、项目级的资产分布视图,多维度视图资产信息展示,助力使用者快速制定决策,合理规避风险,并提供详细的BOM(Bill Of Materials)清单。
5. 专业合规性检测。提供全面的第三方组件和自研组件的识别定位,对其合规性进行检测规避法律风险,并在安全检测后支撑快速清理和组件升级。
6. 无缝集成。支持IDE、包含Eclipse、IntelliJIDEA,支持主流DevOps工具,包含git(gitlab,gitee,github),svn,jira,jenkins等。
7. 开放式API接口。平台提供各种开放式API,以满足企业内部已有工具的集成需求,赋予更多实用性,能和公司内部管理流程CBB结合。
8. SourceCheck顾问团队。SourceCheck顾问团队长期关注于开源软件的发展形势和新的威胁跟踪,可提供相应的开源组件审计服务。
适用场景
1. 国家大型基础软件规避安全风险
针对国家“自主可控”的信息安全要求,为解决核心软件技术受制于人的现状,在操作系统、大型工业软件、数据库、中间件等核心基础软件方面,国家将实施软件重大工程项目,这些工程从设计、开发、测试阶段到交付验收阶段,需要开展软件成分分析(SCA)工作,需要确保大型基础软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装。
2. 企业软件安全风险自查
随着开源技术在云计算、大数据、新技术领域的不断运用,让企业快速建立自身的应用,但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。大型公司自有软件项目,产品团队快速交付的产品可能蕴含着巨大风险,这些风险可能导致企业产品受到攻击、公司名誉和声誉受到影响,严重者由于知识产权方面诉讼可能面临企业经营风险。企业需要通过软件成分分析开展自查,避免企业使用开源软件带来的安全风险和法律风险。
3. 研发团队安全自查
研发团队在进行软件项目研发时,关注软件代码中引用的开源软件是否存在高危安全漏洞,目前每年超过4000个安全漏洞从开源软件中被报告出来,且不断递增的趋势,而由于开源软件任何人都可以下载和研究代码中的潜在风险,引用了开源软件的产品软件就更容易受到攻击。为避免项目引入开源组件存在安全风险,需要定期开展开源组件风险自我检查。规避相应安全风险。
4. 软件供应链风险管控
企业和第三方合作,委托开发软件时,对外部交付的组件,交付前需对外部代码的安全性和合规性进行分析,及时发现外部代码的安全性风险和开源许可证的合规性风险,帮助企业规避相应风险,管控第三方供应商交付组件质量。
5. 企业并购、尽调方软件资产核查
在企业并购和尽调项目中,收购方想了解目标企业目前有哪些软件资产,通过识别清单列表记录哪些产品使用了哪些开源组件,一旦某个开源组件出现潜在法律风险,可以通过清单列表迅速排查,为投资方提供客观的决策支持。
6. CBB(公用模块)管理部门
当企业成长到一定规模,产品是基于许多成熟、量产的公用模块搭建成的,CBB ( Common Building Block ,公用模块)是指组成产品(或产品系统、子系统)的、具有一项或多项独立功能、具有稳定结构与标准接口的可重用的单元。
公用模块具备可组合、可替换、可变型等特性,其中开源组件也是CBB管理的内容之一,研发团队不能直接从外部下载开源组件,获取开源组件统一经过CBB部门提供,CBB实现开源组件的统一管理和风险预警,CBB对全公司的开源组件安全和风险负责,实时掌握开源组件的安全和风险状况是确保CBB管理部门支持公司项目的重要指标。
关于开源网安
作为国内领先的软件安全全生命周期(S-SDLC)解决方案提供商,开源网安完全对标“Gartner应用安全测试魔力象限”的领导企业。目前,开源网安自主研发的软件安全测试工具,在产品功能、成熟度、售后服务、支持的运行环境、易用性、可扩展性、可维护性等方面,完全可以替代“Gartner 应用安全测试魔力象限”的领导企业。
公司自主研发的系列化软件安全产品,除了本次通过评估的SourceCheck开源组件安全及合规管理平台,还有灰盒安全测试工具VulHunter、代码审核工具CodeSec、模糊测试工具SFuzz、实时应用自我防护平台RASP、及软件安全全生命周期平台S-SDLC平台,全面覆盖IAST、SAST、SCA、FUZZ、RASP。
开源网安业务全景图
同时,公司还不断深化DevSecOps、软件安全上线检测等技术解决方案,推进5G网络、车联网、人工智能、工业互联网等新技术的软件安全解决方案落地,为中国软件安全产业持续输出产品、技术和解决方案,在快速交付的同时不断提升和保障国内软件安全质量。
未来,开源网安将继续坚持“执着专注、精益求精、一丝不苟、追求卓越”的工匠精神,持续打磨产品,为用户提供更加优质的产品和服务。
— END —
领取专属 10元无门槛券
私享最新 技术干货