发布日期:2024-12-15 00:21浏览次数:
近年来网络信息监测工具的多语言支持情况,开源产业发展势头强劲网络信息监测工具的多语言支持情况,在推动技术创新、促进协作、加速数字化转型方面发挥网络信息监测工具的多语言支持情况的作用愈加凸显。 企业在采用开源组件的时候,一般都会涉及开源安全及许可证的相关问题。企业需要网络信息监测工具的多语言支持情况了解自己使用了哪些开源组件,明确权力和义务,才能避免相关风险。
新思科技(Synopsys)近日应邀参加 “OSCAR开源先锋日”大会主题演讲,在中国首次公开分享了《2022年开源安全和风险分析》报告(OSSRA)的重点发现,并与业界聚焦开源治理的应用落地和趋势,进行深度探讨。新思科技在开源管理领域拥有丰富经验,帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。此次,新思科技也深入参与了该行业大会,包括共同编写《开源安全深度观察报告》、《开源合规指南(企业版)》,以及参加最新可信开源治理工具评估。
本次大会由中国信息通信研究院(以下简称“信通院”)和中国通信标准化协会主办,云计算标准和开源推进委员会支持,云计算开源产业联盟(OSCAR)承办,旨在推动建立中国可信开源生态。
新思科技助力发布《开源安全深度观察报告》和《开源合规指南(企业版)》
这两份报告均由中国信通院牵头编写。《开源安全深度观察报告》梳理了主流的开源安全风险,从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南必赢app(企业版)》侧重研究国内外开源合规发展现状,通过分享理论知识与优秀实践,旨在帮助企业提升内部开源合规管控能力。
新思科技是两份报告的参编单位之一,提供了OSSRA报告最新发现,并通过全球视野和丰富企业级最佳实践,为信通院编写行业报告提供可靠的数据和洞察,助力信通院协助合作单位安全和高效地使用及管理开源组件,为中国业界树立应用标杆。
2022年OSSRA报告覆盖物联网、能源与清洁技术、金融服务和金融科技、教育科技、零售和电子商务、营销科技等17个行业。研究发现,计算机硬件和半导体、网络安全、能源与清洁科技、物联网四个行业的代码库中100%包含开源代码。其余的垂直行业有93%到99%的代码库中包含开源代码。即使比例最低的行业 — 医疗保健、健康科技和生命科学 — 也仍然有高达93%代码库包含开源软件。
新思科技中国区软件应用安全技术总监杨国梁表示:“开源代码在各行各业的代码库中占比很高,而且很大一部分代码库容易被利用和攻击。开源安全现在已经成为全球化挑战,存在开源安全漏洞、后门植入、供应链攻击、隐私信息泄露等问题。企业需要有方向、持续地提升自身开源安全能力,以安全地使用开源软件,并更好地应对开源安全威胁。”
Black Duck通过最新可信开源评估
中国信通院在“OSCAR开源先锋日”上发布了可信开源治理工具(SCA)评估等最新一批开源评估结果,为中国开源市场的良性发展提供指引。新思科技Black Duck软件组成分析工具在此次严苛的评估中表现优异。
可信开源治理工具(SCA)评估内容涵盖基本能力、技术支持能力、易用性、部署能力、安全性以及兼容性,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。
Black Duck软件组成分析实现以下功能全覆盖:
多语言的支持能力
文件特征值识别、依赖识别、代码片段识别、加密算法识别、二进制文件识别的支持能力
扫描结果包括开源组件许可证信息,安全漏洞信息,漏洞修复建议的支持能力
开源组件新增漏洞预警信息提示
持续集成,分布式部署,并发扫描,弹性扩容能力
数据传输安全,用户信息保护,安全监测能力
新思科技开源治理专家王永雷表示:“随着开源供应链安全越来越引起企业的重视,开源组件的识别的依赖组件深度成为开源治理非常重要的一个环节。此次,新思科技开启了10倍深度探测功能,以更加精确地识别依赖组件。这种隐藏在冰山之下的依赖开源组件风险需要希望引起大家的重视。此外,开源合规风险依然严重,而且使用过期开源组件版本的情况非常的普遍。这些会引起侵权、系统不稳定、维护成本提高或者易受攻击的风险增加。现在,开源无处不在,我们需要对其使用进行妥善管理,才能构建可信开源生态。”