首页 电商 正文

新趋势,开源组件治理的安全问题不可忽视

2024-03-21 21:46
admin

【摘要】国家关键基础软件亟待发展,而保障软件安全则是重中之重。开源网安作为“软件安全行业的创领者”,对开源组件治理等提供相应的解决方案和技术支持,助力我国软件产业的稳健发展。

国产软件行业面临巨大挑战

近期,中科院推出了“率先行动”计划。中科院院长白春礼表示:“当前国家科技的发展正在转型,经济高质量发展也需要科技高质量发展。面临着美国对中国高科技产业的打压,我们希望在这方面能够做一些工作。前期我们已经做了一些工作,未来十年我们还会针对一些卡脖子的关键问题做一些新的部署。要把美国卡脖子清单变成科研任务清单。瞄准目标,集智攻关,向科技广度和深度进军;遵循科学发展规律,培育创新土壤,科技创新必能喷涌而出。”

开源组件的安全应用对国内各行各业的重大影响

软件的健康发展依赖于良好的软件生态系统支持,在当前的移动互联网、云计算、大数据、人工智能、区块链等众多领域内,开源技术经历了快速发展,已逐渐形成技术主流,并成为软件生态中重要且不可替代的组成部分,从基础软件到应用软件都充斥着大量的开源组件,开源技术正在渗透软件领域的方方面面。

开源组件的引入,可以帮助企业加速创新、占领市场。但是,开源组件的普及和使用带来的风险也不容忽视:如开源组件的运维和管理风险、漏洞和数据安全风险、合规和知识产权风险等,都需要企业深入考虑进行开源组件治理。

企业将开源组件集成到自身产品或解决方案中时,会在法律或业务执行层面面临不同的风险,如:合规性风险、安全性风险、技术性风险。一旦风险暴露,将造成巨大的损失。例如,当商业软件里使用GPL2.0,自由软件基金会有权要求将整个项目代码宣布开源,企业辛辛苦苦积攒的产品优势,与竞争对手的差距都将不复存在,商业损失巨大。同时,CVE漏洞库目前记录约有14万条安全漏洞,其中约2/3源自于开源组件,且多数开源许可证也不承诺为它们自己的项目安全性负责,导致企业引入开源组件时会被动引入安全漏洞,造成了安全性风险。此外,当企业引入越多的开源组件,将导致开发运维工作量越大,对技术人员的要求越高,在各阶段响应须更及时,才能应对业务承载能力,更多的技术性风险将无法避免。

因此,开源组件治理的安全问题已引起了国内金融、房地产、医疗等行业的高度关注。企业需要对开源组件进行治理,并从规范体系、人才培养、落地实践等多方面着手。企业就开源组件治理方面进行软件组件分析时,将会面临一些典型的场景:企业内部对开源合规性及安全性检测,满足政府部门的监管开源占比政策要求,跨国企业合作明确责任安全报告,企业兼并过程有关软件资产合规审计,知识产权纠纷司法鉴定审计等等。针对上述场景,企业需要借力应对,通过开源治理工具或平台进行体系化的跟踪,把相关信息发布出来,将使用情况和管理信息可视化展示,才能够保障开源组件治理有效的推进。

国内开源组件治理公司已经崛起

一些国内企业已经有成熟的产品能够保障开源组件治理有效的推进,如开源网安提供的SCA产品:开源组件安全及合规管理平台(简称SourceCheck),可用于第三方组件安全管控,包括企业组件使用管理,组件使用合规性审计,新漏洞感知预警,开源代码知识产权审计等,支持对源码及发布包检测,是OWASPTop10中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

SourceCheckSCA可提供企业级的软件资产分布可视化、软件资产跟踪定位、根据已知漏洞定位组件、新漏洞发布后的自检与预警、自研组件识别、威胁分析、跟踪定位、组件、漏洞数据的态势感知、许可和知识产权检测、组件管控等功能。

除上述功能外,SourceCheckSCA平台还提供了各种开放式API,以满足企业内部已有工具的集成需求。

SourceCheckSCA平台具有最专业的合规性检测和专业的法律支撑团队以保证检测的权威性;支持CVE、CNNVD和自研组件库对接,以保证超高开源组件库的覆盖度;支持企业、部门、项目级的资产分布视图展示,对组件、认证、漏洞清单进行多维度展示,为辅助决策提供精准、合理的修复方案;实时发现最新漏洞,持续更新记录,以保证最新漏洞风险的快速感知;灵活的组件授权管控机制,提升了使用的便捷性;支持IDE,包含Eclipse、IntelliJIDEA、VS,支持主流DevOps工具,包含GitLab、Jenkins、Jira、SVN等,支持第三方数据导入,满足了集成的多样性。

开源网安有大量世界500强成功案例及S-SDLC实施经验,十年磨一剑,专注“软件安全”,拥有“自主知识产权”,也是国产化替代Gartner应用安全魔力象限“领导者”厂商,并能为客户提供安全开发全生命周期解决方案(S-SDLC)、DevSecOps解决方案和完整的软件开发工具链(IAST、SAST、SCA、FUZZ、RASP),为客户实现软件产品快速安全交付保驾护航。

开源网安已经在金融、能源、政府监管、通讯、软件、教育等行业积累了大量成功案例。平安银行、中信银行、微众银行、国信证券、中国石油、国家电网、南方电网、华为、百度、金蝶软件、碧桂园、IBM等大型企业都已经在开源网安的协助下,有效治理了开源组件安全的安全问题。您只管放心使用,大胆去创造,安全问题交给开源网安!

相关文章

  • 亚马逊云科技发布开源软件Palace 亚马逊

    亚马逊云科技发布开源软件Palace 亚马逊 日前,亚马逊云科技推出辅助量子计算硬件开发的开源软件Palace,即PAralel、LArge-scaleComputationalElectromagnetics(并行大规模计算电磁学),用于全波电磁模拟的并行有限元软件亚马逊云科技在其量子计算中心使用Palace执行复杂电磁模型的大规模三维模拟,用来支持其量子计算硬件的设计在设计过程中,亚马逊云科技利用了高性能计算(HPC)产品和服务来保证Pa

    2024-03-22 14:45

  • 突破卡脖子技术:芯片梦

    突破卡脖子技术:芯片梦 当然,从世界范围看,系统公司造芯也不稀奇,谷歌、华为围绕着自我的业务,都在研制芯片。,过了两个月,在第六届互联网大会上,平头哥宣布,正式开源低功耗微控制芯片设计平台。,在学术界,中科院计算所也研发了一套基于RISC-V、面向开源芯片设计的系统级验证和原型平台SERVE。

    2024-03-22 09:15

  • 忧贸易限制,全球开源芯片基金会近期将把总部从美国迁往瑞士

    忧贸易限制,全球开源芯片基金会近期将把总部从美国迁往瑞士 据路透社11月25日报道,开源芯片基金会的首席执行官卡利斯塔·雷蒙德(CalistaRedmond)在接受路透社采访时表示,希望确保美国以外的大学,政府和公司可以帮助开发其开源技术。,路透社报道称,RISC-V指令集技术源于加州大学柏克莱分校,后来又得到美国国防部国防高级研究计划局的资助,其开源架构允许任何人自由地用于任何目的。,”他说,RISC-V“很适合华为关于这个异构开放世界的愿景。

    2024-03-22 09:15

  • GitHub或正式登陆中国!拟设中国分公司

    GitHub或正式登陆中国!拟设中国分公司 今年7月,GitHub开始按照国籍对账号进行限制,理由是这些国家违反了美国的贸易控制法律。,没有GitHub,中国公司将无法访问开源软件的代码,从而可能导致程序老旧、难以更新升级。,自2014年以来,美国以外地区开发者数量不断上升,亚洲贡献者群体的年增长率已超过欧洲和北美。

    2024-03-22 09:08

  • 被微软75亿收购的 GitHub,无法承受失去中国之痛

    被微软75亿收购的 GitHub,无法承受失去中国之痛 这将分阶段完成:先设立全资子公司,从雇佣总经理等员工开始,后续可能会探索合资企业、在中国托管GitHub内容的可能性。,它还提供了更多安全感,因为不受美国任何贸易限制的约束”,布雷西亚在一次北京活动上这样说。,成立11年后,GitHub本身成为开源代码的一个象征:它拥有3.5亿美元风投支持,超过2800万开发者在上面建了5700万个代码仓库。

    2024-03-22 09:07

  • 全球5G竞争升级 开源技术将颠覆游戏规则?

    全球5G竞争升级 开源技术将颠覆游戏规则? 而正当美国采取开源姿态为欧洲企业“充实弹药”之时,中国则将供应链的目光转向了亚洲邻国。,”盛陵海对记者表示,关键是中间的协议怎么制定,想让公司无偿开放核心技术,这生意也没有那么简单。,有消息称,美国官员正在考虑给予税收减免,以帮助开发这项开源技术,吸引更多的厂商加入。

    2024-03-22 09:01

  • 见证平台系列之一:平台的崛起与机遇

    见证平台系列之一:平台的崛起与机遇 通过iPaaS支撑标准、灵活部署和集成化管理:与老牌中间件厂商Tibco联合打造企业级应用集成(EnterpriseApplicationIntegration)云服务,让用户能通过与自己公司内部的系统如ERP、财务、客户服务甚至其他CRM软件等无缝对接,实现业务流自动化;2018年宣布史上最大一笔交易——以65亿美金收购MuleSoft,一家提供全生命周期API管理和iPaaS服务的上市公司。,

    2024-03-22 08:42

  • 欧盟要求员工放弃使用WhatsApp和Messenger

    欧盟要求员工放弃使用WhatsApp和Messenger 新浪科技讯北京时间2月25日晚间消息,据国外媒体报道,欧盟委员会(EC)已告知其所有员工,出于网络安全因素考虑,应放弃使用WhatsApp、FacebookMessenger和苹果Messages等即时通讯应用,转而使用另一款即时消息应用Signal。,”Signal序因其“端到端”加密和开源技术而受到隐私维权人士的青睐。,鲁汶大学(UniversityofLeuven)密码学专家巴特·普雷内尔(

    2024-03-22 08:39

  • 怀疑开发者在“造核弹”?GitHub不断封禁开源项目

    怀疑开发者在“造核弹”?GitHub不断封禁开源项目 但是可疑的是,这个回应发生在别人把我这篇文章发在HackerNews,引起很多人关注之后。,现在想想,那些在社交媒体上称赞并且向别人推荐GitHub的人该是多么天真啊。,时过境迁,谷歌、苹果、Facebook这样超大平台的出现,使得事情又走向了另一个极端。

    2024-03-22 08:25

  • 开源:从“复兴”走向“商业化”

    开源:从“复兴”走向“商业化” 最后才是将接口封装及标准化,并让用惯Tensorflow、PyTorch的老手和研究员能借助技术文档,快速上手。,所以,从技术角度,涉及操作系统底层架构、操作性能、用户界面等部分,任何开发者或硬件厂商都可以根据开源代码进行二次开发。,未来在AI、基础设施以及IoT等前沿领域和相关技术上,我们一定会看到更多国内开源项目及科技巨头的行动。

    2024-03-22 08:23

热门标签