新思科技聚焦開(kāi)源治理 助力提升中國(guó)開(kāi)源產(chǎn)業(yè)安全及合規(guī)水平

現(xiàn)在，開(kāi)源無(wú)處不在。開(kāi)源安全已經(jīng)成為供應(yīng)鏈安全中的重要一環(huán)，企業(yè)需要從流程管理、安全防護(hù)等多個(gè)方面進(jìn)行管控，妥善管理開(kāi)源使用，以確保開(kāi)源軟件的安全性。

新思科技(Synopsys)近日應(yīng)邀參加 “OSCAR開(kāi)源先鋒日”大會(huì)主題演講，在中國(guó)首次公開(kāi)分享了《2022年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）的重點(diǎn)發(fā)現(xiàn)，并與業(yè)界聚焦開(kāi)源治理的應(yīng)用落地和趨勢(shì)，進(jìn)行深度探討。新思科技在開(kāi)源管理領(lǐng)域擁有豐富經(jīng)驗(yàn)，幫助團(tuán)隊(duì)管理在應(yīng)用和容器中使用開(kāi)源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn)。此次，新思科技也深入?yún)⑴c了該行業(yè)大會(huì)，包括共同編寫(xiě)《開(kāi)源安全深度觀察報(bào)告》、《開(kāi)源合規(guī)指南（企業(yè)版）》，以及參加最新可信開(kāi)源治理工具評(píng)估。

本次大會(huì)由中國(guó)信息通信研究院（以下簡(jiǎn)稱“信通院”）和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)主辦，云計(jì)算標(biāo)準(zhǔn)和開(kāi)源推進(jìn)委員會(huì)支持，云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟(OSCAR)承辦，旨在推動(dòng)建立中國(guó)可信開(kāi)源生態(tài)。

新思科技助力發(fā)布《開(kāi)源安全深度觀察報(bào)告》和《開(kāi)源合規(guī)指南（企業(yè)版）》
這兩份報(bào)告均由中國(guó)信通院牽頭編寫(xiě)?！堕_(kāi)源安全深度觀察報(bào)告》梳理了主流的開(kāi)源安全風(fēng)險(xiǎn)，從開(kāi)源社區(qū)和開(kāi)源用戶兩個(gè)角度提供開(kāi)源安全的防范建議；《開(kāi)源合規(guī)指南（企業(yè)版）》側(cè)重研究國(guó)內(nèi)外開(kāi)源合規(guī)發(fā)展現(xiàn)狀，通過(guò)分享理論知識(shí)與優(yōu)秀實(shí)踐，旨在幫助企業(yè)提升內(nèi)部開(kāi)源合規(guī)管控能力。

新思科技是兩份報(bào)告的參編單位之一，提供了OSSRA報(bào)告最新發(fā)現(xiàn)，并通過(guò)全球視野和豐富企業(yè)級(jí)最佳實(shí)踐，為信通院編寫(xiě)行業(yè)報(bào)告提供可靠的數(shù)據(jù)和洞察，助力信通院協(xié)助合作單位安全和高效地使用及管理開(kāi)源組件，為中國(guó)業(yè)界樹(shù)立應(yīng)用標(biāo)桿。

2022年OSSRA報(bào)告覆蓋物聯(lián)網(wǎng)、能源與清潔技術(shù)、金融服務(wù)和金融科技、教育科技、零售和電子商務(wù)、營(yíng)銷科技等17個(gè)行業(yè)。研究發(fā)現(xiàn)，計(jì)算機(jī)硬件和半導(dǎo)體、網(wǎng)絡(luò)安全、能源與清潔科技、物聯(lián)網(wǎng)四個(gè)行業(yè)的代碼庫(kù)中100%包含開(kāi)源代碼。其余的垂直行業(yè)有93%到99%的代碼庫(kù)中包含開(kāi)源代碼。即使比例最低的行業(yè) — 醫(yī)療保健、健康科技和生命科學(xué) — 也仍然有高達(dá)93%代碼庫(kù)包含開(kāi)源軟件。

新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁表示：“開(kāi)源代碼在各行各業(yè)的代碼庫(kù)中占比很高，而且很大一部分代碼庫(kù)容易被利用和攻擊。開(kāi)源安全現(xiàn)在已經(jīng)成為全球化挑戰(zhàn)，存在開(kāi)源安全漏洞、后門(mén)植入、供應(yīng)鏈攻擊、隱私信息泄露等問(wèn)題。企業(yè)需要有方向、持續(xù)地提升自身開(kāi)源安全能力，以安全地使用開(kāi)源軟件，并更好地應(yīng)對(duì)開(kāi)源安全威脅?！?/p>

Black Duck通過(guò)最新可信開(kāi)源評(píng)估
中國(guó)信通院在“OSCAR開(kāi)源先鋒日”上發(fā)布了可信開(kāi)源治理工具(SCA)評(píng)估等最新一批開(kāi)源評(píng)估結(jié)果，為中國(guó)開(kāi)源市場(chǎng)的良性發(fā)展提供指引。新思科技Black Duck軟件組成分析工具在此次嚴(yán)苛的評(píng)估中表現(xiàn)優(yōu)異。

可信開(kāi)源治

理工具(SCA)評(píng)估內(nèi)容涵蓋基本能力、技術(shù)支持能力、易用性、部署能力、安全性以及兼容性，幫助規(guī)范和提升開(kāi)源治理工具質(zhì)量，同時(shí)適用于采購(gòu)此類工具的開(kāi)源用戶，幫助用戶企業(yè)采購(gòu)此類工具作為選型參考。

Black Duck軟件組成分析實(shí)現(xiàn)以下功能全覆蓋：

• 多語(yǔ)言的支持能力

• 文件特征值識(shí)別、依賴識(shí)別、代碼片段識(shí)別、加密算法識(shí)別、二進(jìn)制文件識(shí)別的支持能力

• 掃描結(jié)果包括開(kāi)源組件許可證信息，安全漏洞信息，漏洞修復(fù)建議的支持能力

• 開(kāi)源組件新增漏洞預(yù)警信息提示

• 持續(xù)集成，分布式部署，并發(fā)掃描，彈性擴(kuò)容能力

• 數(shù)據(jù)傳輸安全，用戶信息保護(hù)，安全監(jiān)測(cè)能力

新思科技開(kāi)源治理專家王永雷表示：“隨著開(kāi)源供應(yīng)鏈安全越來(lái)越引起企業(yè)的重視，開(kāi)源組件的識(shí)別的依賴組件深度成為開(kāi)源治理非常重要的一個(gè)環(huán)節(jié)。此次，新思科技開(kāi)啟了10倍深度探測(cè)功能，以更加精確地識(shí)別依賴組件。這種隱藏在冰山之下的依賴開(kāi)源組件風(fēng)險(xiǎn)需要希望引起大家的重視。此外，開(kāi)源合規(guī)風(fēng)險(xiǎn)依然嚴(yán)重，而且使用過(guò)期開(kāi)源組件版本的情況非常的普遍。這些會(huì)引起侵權(quán)、系統(tǒng)不穩(wěn)定、維護(hù)成本提高或者易受攻擊的風(fēng)險(xiǎn)增加?，F(xiàn)在，開(kāi)源無(wú)處不在，我們需要對(duì)其使用進(jìn)行妥善管理，才能構(gòu)建可信開(kāi)源生態(tài)?！?br /> ?