现在,开源无处不在。开源安全已经成为供应链安全中的重要一环,企业需要从流程管理、安全防护等多个方面进行管控,妥善管理开源使用,以确保开源软件的安全性。
新思科技(Synopsys)近日应邀参加 “OSCAR开源先锋日”大会主题演讲,在中国首次公开分享了《2022年开源安全和风险分析》报告(OSSRA)的重点发现,并与业界聚焦开源治理的应用落地和趋势,进行深度探讨。新思科技在开源管理领域拥有丰富经验,帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。此次,新思科技也深入参与了该行业大会,包括共同编写《开源安全深度观察报告》、《开源合规指南(企业版)》,以及参加最新可信开源治理工具评估。
本次大会由中国信息通信研究院(以下简称“信通院”)和中国通信标准化协会主办,云计算标准和开源推进委员会支持,云计算开源产业联盟(OSCAR)承办,旨在推动建立中国可信开源生态。
新思科技助力发布《开源安全深度观察报告》和《开源合规指南(企业版)》
这两份报告均由中国信通院牵头编写。《开源安全深度观察报告》梳理了主流的开源安全风险,从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南(企业版)》侧重研究国内外开源合规发展现状,通过分享理论知识与优秀实践,旨在帮助企业提升内部开源合规管控能力。
新思科技是两份报告的参编单位之一,提供了OSSRA报告最新发现,并通过全球视野和丰富企业级最佳实践,为信通院编写行业报告提供可靠的数据和洞察,助力信通院协助合作单位安全和高效地使用及管理开源组件,为中国业界树立应用标杆。
2022年OSSRA报告覆盖物联网、能源与清洁技术、金融服务和金融科技、教育科技、零售和电子商务、营销科技等17个行业。研究发现,计算机硬件和半导体、网络安全、能源与清洁科技、物联网四个行业的代码库中100%包含开源代码。其余的垂直行业有93%到99%的代码库中包含开源代码。即使比例最低的行业 — 医疗保健、健康科技和生命科学 — 也仍然有高达93%代码库包含开源软件。
新思科技中国区软件应用安全技术总监杨国梁表示:“开源代码在各行各业的代码库中占比很高,而且很大一部分代码库容易被利用和攻击。开源安全现在已经成为全球化挑战,存在开源安全漏洞、后门植入、供应链攻击、隐私信息泄露等问题。企业需要有方向、持续地提升自身开源安全能力,以安全地使用开源软件,并更好地应对开源安全威胁。”
Black Duck通过最新可信开源评估
中国信通院在“OSCAR开源先锋日”上发布了可信开源治理工具(SCA)评估等最新一批开源评估结果,为中国开源市场的良性发展提供指引。新思科技Black Duck软件组成分析工具在此次严苛的评估中表现优异。
可信开源治
理工具(SCA)评估内容涵盖基本能力、技术支持能力、易用性、部署能力、安全性以及兼容性,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。
Black Duck软件组成分析实现以下功能全覆盖:
- 多语言的支持能力
- 文件特征值识别、依赖识别、代码片段识别、加密算法识别、二进制文件识别的支持能力
- 扫描结果包括开源组件许可证信息,安全漏洞信息,漏洞修复建议的支持能力
- 开源组件新增漏洞预警信息提示
- 持续集成,分布式部署,并发扫描,弹性扩容能力
- 数据传输安全,用户信息保护,安全监测能力
新思科技开源治理专家王永雷表示:“随着开源供应链安全越来越引起企业的重视,开源组件的识别的依赖组件深度成为开源治理非常重要的一个环节。此次,新思科技开启了10倍深度探测功能,以更加精确地识别依赖组件。这种隐藏在冰山之下的依赖开源组件风险需要希望引起大家的重视。此外,开源合规风险依然严重,而且使用过期开源组件版本的情况非常的普遍。这些会引起侵权、系统不稳定、维护成本提高或者易受攻击的风险增加。现在,开源无处不在,我们需要对其使用进行妥善管理,才能构建可信开源生态。”