开源软件是数字时代研发创新和效率的引擎

•开源软件占所使用的所有软件的 70%，是支持企业转型的创新生态系统不可或缺的部分。

•根据奇安信的 2023 中国软件供应链安全分析报告，被分析的 2631 个国内企业软件项目中，100% 使用了开源软件，平均每个项目使用 155 个。

开源软件使用存在的风险

开源并不是“免费”，开源软件的使用，可能存在严重的组件安全漏洞、许可证合规、运维等风险。

•安全漏洞

开源组件和第三方依赖关系繁多且变化频繁，可能潜伏未知的安全漏洞，给企业和组织带来潜在风险

•许可证风险

组件和依赖的使用，可能受到各种许可证的限制，从而导致法律纠纷、代码被迫开源等问题。

•运维风险

研发所选用的低质量开源组件，可能更新频率低甚至停止维护，带来质量和维护问题。

SBOM 概念

SBOM（Software Bill of Materials）是一种清单或记录，用于描述软件产品的构成要素，类似物理产品的配料清单，详细列出软件中所包含的所有组件、相关许可证协议的清单，以及所有组件之间依赖关系的描述。

SBOM 提供了可见性，帮助用户精准掌控开源软件版本、依赖以及许可证信息，是开源治理的有效抓手。

京东云星光 SSCM 开源软件治理工具

京东云星光 SSCM（Software Supply Chain Management），是基于 SBOM 的开源软件治理工具。它源自京东开源组件管理、安全合规及知识产权保护的实践探索，提供全面、准确和实时的软件物料清单采集与分析能力，打造企业级标准化软件成分信息库，并集成组件漏洞库和许可证库，赋能组织高效地管理和使用开源软件，在获得开源收益的同时，确保安全与合规，充分释放开源软件潜力。

产品目标

高效地管理和使用开源软件，在获得开源收益的同时，确保安全与合规，充分释放开源软件潜力。

产品功能

•软件成分分析

识别软件所有开源组件、版本及依赖关系，镜像 Layers，产生软件开源漏洞和许可证风险评估报告，按需生成各种格式 SBOM 文件。

•软件资产管理

建立包含开源台账的软件资产库，见人之所未见，实现对资产进行精细化管理，并能够加入筛选规则，进而规范开源组件的使用流程。

•组件反向溯源

建立反向溯源关系，定位指定版本的组件被组织内软件所使用情况，当出现安全漏洞时，能够精准锁定受影响的软件范围，快速响应。

•开源漏洞管理

提供完善的组织组件漏洞库，并实时同步权威漏洞信息，同时支持漏洞的检索和查看，追溯受影响的软件包，并提供修复建议。

•许可证管理

提供完整的开源许可证库，落地京东集团开源软件合规使用规范，内嵌京东法律合规团队对百种以上常见开源许可证的应用建议。

•在线工具

SBOM 验证工具检验 SBOM 文件是否被篡改，保证一致性与安全性；SBOM 格式转换工具提供 SBOM 文件多种标准的转换能力。

•工具集成

与 CI/CD 集成自动采集 SBOM 信息并提前预警风险，与制品库集成规范开源组件的引入，与信息安全管理工具集成快速响应漏洞。

应用场景

•开源组件选用

基于开源组件信息库遴选优质组件，审核及引入新的组件

•安全开发

尽早发现和解决安全风险，实现安全左移，阻断隐含高危安全风险的应用上线

•漏洞应急响应

通过反向追溯软件，迅速确定漏洞的影响范围，快速修复或替换

•软件采购

扫描外采软件成分以评估其质量、安全性及合规性，确保符合组织要求

•软件资产管理

有效管理软件资产，包括软件和组件的版本、依赖关系和安全状况等

•审计及知识产权

软件资产审计，安全审计，许可证合规审计及保护知识产权

产品价值

•提高质量与安全

平台赋能开发者选择高质量的组件，并能够有效跟踪组件的来源、版本和依赖关系，快速定位并解决漏洞，确保组件的质量，保障组织安全。

•提高效率

平台赋能研发团队快速发现可信的组件，便利地使用组件，同时能够精准地定位组件漏洞，从而提升软件架构设计、编码，以及解决问题的效率。

•降低风险

平台提供精细和动态的开源组件、漏洞及许可证信息，赋能安全合规人员高效的合规审计和快速的漏洞修复，降低安全合规风险。

•降低成本

平台的使用，既能大大降低软件交付全生命周期中使用和维护组件的成本，又有效减少研发组织管理组件及修复组件漏洞的成本。

免费试用，扫一扫