如何使用清源 CleanSource SCA 管理开源风险

清源(CleanSource) SCA 可以无缝集成到 SDLC（软件开发生命周期）和 CI/CD 工具链中，从最大限度保持开发和迭代速度。

在现代的开发模式中，开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具，再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库，几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入，更多更复杂的开源应用的使用场景，意味着组织面临着越来越多的风险。

随着软件开发 DevOps 流程的广泛使用，带来了开发速度的显著提升，对于管理开源风险的要求也变得越来越高，选择 SCA（软件成分分析）工具管理开源组件正逐渐成为各行业的关键决策。

开源软件的广泛应用，除了最直接的安全风险外，还会给企业带来法律、软件供应链和运营风险。Gartner 在《2020 年软件成分分析市场指南》中将 SCA 工具视为企业“应用战略”的一个重要组成部分。

通过使用一个强大的 SCA 工具，你可以发现和解决这些关键领域的风险，加强你的应用安全状况以及更好的管理风险。

1、安全风险

SCA 工具的主要作用之一是帮助企业监控和管理已知和未知的开源漏洞。清源(CleanSource) SCA 提供了可定制的策略设置，通过策略的优先级和颗粒度设定来简化安全活动，及时发现和优先解决最为关键的漏洞。

SCA 工具的挑战之一是如何完整、准确的识别出产品中所引入的开源组件，除了多维度的探测技术和匹配算法外，同时必须有一个强大的数据库，在此基础上，关联组件版本的许可证、漏洞、加密算法等其他特征数据。清源(CleanSource) SCA 提供了超越公开安全数据的信息，能为企业提供更全面的漏洞修复建议、CVSS 评分、漏洞影响分析等。通过与清源(CleanSource) SCA 先进的策略管理功能结合起来，团队能够根据多个关键属性对需要修复的漏洞进行优先级排序。

2、法律合规风险

使用开源代码，就一定会涉及软件许可证。软件许可证往往带有很具体的要求和义务，并且有些许可证的要求是很严格的，而这些条款往往被开发团队忽视。但如果不能准确识别和遵守这些义务，就会使组织面临法律风险。

清源(CleanSource) SCA 跟踪超过 2000 多种开源许可协议，并对其中一些主流许可协议进行冲突分析，帮助企业避免违反其中的条款，否则可能会导致代价高昂的法律诉讼，抑或是损害知识产权。清源(CleanSource) SCA 具有强大的扫描引擎和分析能力，提供多维度的开源组件检查能力，从代码片段到文件，再从组件到依赖到容器镜像，清源(CleanSource) SCA 不但可以发现包管理器中声明的组件，对于部分引用、修改后引用和未声明的开源组件，可以为企业提供很好的能见度。只有掌握了完整的许可证风险数据，才能从最大的程度上避免许可证风险。

3、生成符合行业规定的 SBOM

提升软件供应链的透明度是解决开源代码安全与合规问题的未来方向，SBOM 是其中最关键之处。清源(CleanSource) SCA 通过生成的完整、准确和可追溯的 SBOM，不但可以帮助企业降低安全风险和法律合规风险，还可以提高软件供应链的效率并提供可追溯性。

在美国商务部和国家电信和信息管理局（NTIA）发布关于 SBOM 中最基础元素的指导意见中规定了 7 个 SBOM 必备的数据字段：提供者名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM 数据创建人和时间戳。清源(CleanSource) SCA 可以在输出的 SBOM 中为用户提供这些信息和其他指导意见中建议的补充信息，来增强软件供应链的透明度。常见的 SBOM 标准有 SPDX 和 CycloneDX， 清源(CleanSource) SCA 可以通过标准的 SPDX 或 CycloneDX 格式进行输出。通过标准化的格式输出，清源(CleanSource) SCA 生成的 SBOM 为客户提供了一个简单而完善的解决方案。

4、无缝集成

随着近年 DevOps 的应用与发展，SCA 工具作为工具链当中的一环，集成与接入能力显得尤为重要；其次，作为一款成熟的企业级的 SCA 工具，必须经过大型企业的落地实践检验，产品性能需要满足大型企业的高标准的要求，工具绝不能成为影响研发效率的卡点。通常大型企业的业务场景、组织架构比较复杂，所以一款企业级 SCA 工具必须具备负载均衡等灵活的方式来满足企业复杂的需求场景。

清源(CleanSource) SCA 可以无缝集成到 SDLC（软件开发生命周期）和 CI/CD 工具链中，从最大限度保持开发和迭代速度。

清源(CleanSource) SCA 自动化策略管理允许客户定义开源使用、安全风险和许可证合规性的策略，并在整个 SDLC 中自动化执行这些规则。敏捷开发团队依靠自动化测试和开发来帮助加快 TTM (Time to market)，提高整体产品质量。清源(CleanSource) SCA 为您的 CI/CD 管道、软件包管理器、容器平台、API 等提供无缝集成。清源(CleanSource) SCA 是业界领先的 SCA 解决方案，可以帮助您有效地管理产品线和跨部门合作的风险。

关于安势信息

上海安势信息技术有限公司成立于 2021 年，致力于解决软件供应链中的安全和合规问题，目前已完成数千万元天使轮融资。作为中国市场领先的软件供应链安全治理工具提供商，安势信息以 SCA（软件成分分析）产品作为切入点，围绕 DevSecOps 流程，着力于从工具到流程再到组织，坚持持续创新，打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网 www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。