写点什么

新思科技聚焦开源治理 助力提升中国开源产业安全及合规水平

  • 2022 年 7 月 12 日
  • 本文字数:1609 字

    阅读完需:约 5 分钟

新思科技聚焦开源治理  助力提升中国开源产业安全及合规水平

现在,开源无处不在。开源安全已经成为供应链安全中的重要一环,企业需要从流程管理、安全防护等多个方面进行管控,妥善管理开源使用,以确保开源软件的安全性。

 

新思科技(Synopsys)近日应邀参加 “OSCAR 开源先锋日”大会主题演讲,在中国首次公开分享了《2022年开源安全和风险分析》报告(OSSRA)的重点发现,并与业界聚焦开源治理的应用落地和趋势,进行深度探讨。新思科技在开源管理领域拥有丰富经验,帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。此次,新思科技也深入参与了该行业大会,包括共同编写《开源安全深度观察报告》、《开源合规指南(企业版)》,以及参加最新可信开源治理工具评估。

 

本次大会由中国信息通信研究院(以下简称“信通院”)和中国通信标准化协会主办,云计算标准和开源推进委员会支持,云计算开源产业联盟(OSCAR)承办,旨在推动建立中国可信开源生态。


 新思科技助力发布《开源安全深度观察报告》和《开源合规指南(企业版)》

这两份报告均由中国信通院牵头编写。《开源安全深度观察报告》梳理了主流的开源安全风险,从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南(企业版)》侧重研究国内外开源合规发展现状,通过分享理论知识与优秀实践,旨在帮助企业提升内部开源合规管控能力。

 

新思科技是两份报告的参编单位之一,提供了 OSSRA 报告最新发现,并通过全球视野和丰富企业级最佳实践,为信通院编写行业报告提供可靠的数据和洞察,助力信通院协助合作单位安全和高效地使用及管理开源组件,为中国业界树立应用标杆。

 

2022 年 OSSRA 报告覆盖物联网、能源与清洁技术、金融服务和金融科技、教育科技、零售和电子商务、营销科技等 17 个行业。研究发现,计算机硬件和半导体、网络安全、能源与清洁科技、物联网四个行业的代码库中 100%包含开源代码。其余的垂直行业有 93%到 99%的代码库中包含开源代码。即使比例最低的行业 — 医疗保健、健康科技和生命科学 — 也仍然有高达 93%代码库包含开源软件。

 

新思科技中国区软件应用安全技术总监杨国梁表示:“开源代码在各行各业的代码库中占比很高,而且很大一部分代码库容易被利用和攻击。开源安全现在已经成为全球化挑战,存在开源安全漏洞、后门植入、供应链攻击、隐私信息泄露等问题。企业需要有方向、持续地提升自身开源安全能力,以安全地使用开源软件,并更好地应对开源安全威胁。”

 

Black Duck 通过最新可信开源评估

中国信通院在“OSCAR 开源先锋日”上发布了可信开源治理工具(SCA)评估等最新一批开源评估结果,为中国开源市场的良性发展提供指引。新思科技Black Duck软件组成分析工具在此次严苛的评估中表现优异。

 

可信开源治理工具(SCA)评估内容涵盖基本能力、技术支持能力、易用性、部署能力、安全性以及兼容性,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。

 

Black Duck 软件组成分析实现以下功能全覆盖:

Ÿ   多语言的支持能力

Ÿ   文件特征值识别、依赖识别、代码片段识别、加密算法识别、二进制文件识别的支持能力

Ÿ   扫描结果包括开源组件许可证信息,安全漏洞信息,漏洞修复建议的支持能力

Ÿ   开源组件新增漏洞预警信息提示

Ÿ   持续集成,分布式部署,并发扫描,弹性扩容能力

Ÿ   数据传输安全,用户信息保护,安全监测能力

 

新思科技开源治理专家王永雷表示:“随着开源供应链安全越来越引起企业的重视,开源组件的识别的依赖组件深度成为开源治理非常重要的一个环节。此次,新思科技开启了 10 倍深度探测功能,以更加精确地识别依赖组件。这种隐藏在冰山之下的依赖开源组件风险需要希望引起大家的重视。此外,开源合规风险依然严重,而且使用过期开源组件版本的情况非常的普遍。这些会引起侵权、系统不稳定、维护成本提高或者易受攻击的风险增加。现在,开源无处不在,我们需要对其使用进行妥善管理,才能构建可信开源生态。”

用户头像

还未添加个人签名 2020.11.13 加入

还未添加个人简介

评论

发布
暂无评论
新思科技聚焦开源治理  助力提升中国开源产业安全及合规水平_开源_InfoQ_434670063458_InfoQ写作社区