开源网安SourceCheck开源组件安全及合规管理平台通过可信开源评估

2021-09-18 11:00

2021年9月17日,2021 OSCAR开源产业大会如期举办,大会由中国信息通信研究院、中国通信标准化协会联合主办,中国通信标准化协会云计算标准与开源推进委员会承办,本届大会旨在进一步探索我国开源生态发展模式,加速开源技术在国内市场落地,提升企业开源治理能力,推动国内开源生态快速、健康有序发展。

何宝宏所长为通过评估单位颁发证书

开源网安的SourceCheck开源组件安全及合规管理平台(本地部署版)通过了开源软件组成及安全性审计平台能力要求评估,也是本次唯一通过评估的开源治理工具


《开源治理工具 评估证书》

SourceCheck 开源组件安全及合规管理平台(本地部署版)于 2021年9月完成可信开源治理工具能力评估,在对开源组件级识别中分析开源组成,分析开源安全性,展示扫描结果,提供扫描报告,提供二次开发接口,更新预警能力,持续集成能力,技术支持能力要求,易用性能力要求,部署能力要求,安全性能力要求,兼容性能力要求,性能,开源组件检出率等14大类均满足可信开源治理工具能力评估要求。


产品优势


1. OWASP Top 10 使用含有已知漏洞的组件安全风险的最佳解决方案。

   2. 开源组件库高覆盖。通过已知漏洞信息,准确实现对企业所用第三方组件的定位和分析,跟踪已识别的第三方组件,持续收集组件的安全威胁。

3. 实时预警威胁发布第一时间检测企业软件资产,对适用问题组件的对象发布漏洞预警,协助启动应急响应机制。

4. 件资产分布全面可视化。提供企业级、部门级、项目级的资产分布视图,多维度视图资产信息展示,助力使用者快速制定决策,合理规避风险,并提供详细的BOM(Bill Of Materials)清单。

5. 专业合规性检测。提供全面的第三方组件和自研组件的识别定位,对其合规性进行检测规避法律风险,并在安全检测后支撑快速清理和组件升级。

6. 无缝集成。支持IDE、包含Eclipse、IntelliJIDEA,支持主流DevOps工具,包含git(gitlab,gitee,github),svn,jira,jenkins等。

7. 开放式API接口。平台提供各种开放式API,以满足企业内部已有工具的集成需求,赋予更多实用性,能和公司内部管理流程CBB结合。

8. SourceCheck顾问团队。SourceCheck顾问团队长期关注于开源软件的发展形势和新的威胁跟踪,可提供相应的开源组件审计服务。

适用场景


1. 国家大型基础软件规避安全风险

针对国家“自主可控”的信息安全要求,为解决核心软件技术受制于人的现状,在操作系统、大型工业软件、数据库、中间件等核心基础软件方面,国家将实施软件重大工程项目,这些工程从设计、开发、测试阶段到交付验收阶段,需要开展软件成分分析(SCA)工作,需要确保大型基础软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装。

2. 企业软件安全风险自查

随着开源技术在云计算、大数据、新技术领域的不断运用,让企业快速建立自身的应用,但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。大型公司自有软件项目,产品团队快速交付的产品可能蕴含着巨大风险,这些风险可能导致企业产品受到攻击、公司名誉和声誉受到影响,严重者由于知识产权方面诉讼可能面临企业经营风险。企业需要通过软件成分分析开展自查,避免企业使用开源软件带来的安全风险和法律风险。

3. 研发团队安全自查

研发团队在进行软件项目研发时,关注软件代码中引用的开源软件是否存在高危安全漏洞,目前每年超过4000个安全漏洞从开源软件中被报告出来,且不断递增的趋势,而由于开源软件任何人都可以下载和研究代码中的潜在风险,引用了开源软件的产品软件就更容易受到攻击。为避免项目引入开源组件存在安全风险,需要定期开展开源组件风险自我检查。规避相应安全风险。

4. 软件供应链风险管控

企业和第三方合作,委托开发软件时,对外部交付的组件,交付前需对外部代码的安全性和合规性进行分析,及时发现外部代码的安全性风险和开源许可证的合规性风险,帮助企业规避相应风险,管控第三方供应商交付组件质量。

5. 企业并购、尽调方软件资产核查

在企业并购和尽调项目中,收购方想了解目标企业目前有哪些软件资产,通过识别清单列表记录哪些产品使用了哪些开源组件,一旦某个开源组件出现潜在法律风险,可以通过清单列表迅速排查,为投资方提供客观的决策支持。

6. CBB(公用模块)管理部门

当企业成长到一定规模,产品是基于许多成熟、量产的公用模块搭建成的,CBB ( Common Building Block ,公用模块)是指组成产品(或产品系统、子系统)的、具有一项或多项独立功能、具有稳定结构与标准接口的可重用的单元。


公用模块具备可组合、可替换、可变型等特性,其中开源组件也是CBB管理的内容之一,研发团队不能直接从外部下载开源组件,获取开源组件统一经过CBB部门提供,CBB实现开源组件的统一管理和风险预警,CBB对全公司的开源组件安全和风险负责,实时掌握开源组件的安全和风险状况是确保CBB管理部门支持公司项目的重要指标。