作为国家发展战略的重要组成部分,信创行业正在乘着时代趋势迎风而上,陆续在CPU、中间件、操作系统等领域都取得了突破性的进展,譬如以飞腾为代表CPU已完成了3000多款国产软件产品的兼容,以麒麟、统信为代表的操作系统在稳定性、可靠性、安全性方面均表现优异。在取得技术突破的同时,信创的发展也进入了一个新的拐点,那就是安全性。
自十四五把技术创新纳入规划以来,信创相关政策持续出台,如2023年7月出台的《安全可靠测评工作指南》明确提到,要关注测评产品是否”履行开源许可协议、授权许可合同“,是否存在”已知安全风险“,以及关注送测产品的”供应链安全性“等,侧面说明了如今信创产品在更新研发技术的同时,更要关注安全问题。
”履行开源许可协议、授权许可合同“强调信创产业在推动自主研发的过程中,应关注产品的法律合规性。如果涉及到开源许可证,企业需要在考虑其条款的前提下进行产品研发,例如传染性极强的GPL许可证,如果按照条款要求公开所有源代码,就会降低信创产品的可控性,不利于信创技术的发展。
”已知安全风险“及”供应链安全性“则主要指是否存在已知的漏洞风险,企业可以通过建立完善的安全检测体系,及时发现并修复潜在的漏洞,降低安全风险。特别是当下开源技术在软件供应链领域占据主流地位,开源漏洞风险也是加强供应链安全性时需重点关注的一项。
要应对上述的开源许可证风险和开源漏洞风险,笔者认为需要在推进信创产品研发的同时,利用SAST、SCA 等开源软件治理工具,识别研发过程中存在的开源风险并及时修复,以确保技术创新的同时提高软件的安全性。
譬如,利用SAST工具在代码编写阶段发现并修复了潜在的安全漏洞,显著提升了软件的质量和安全性。或者利用SCA工具,对引入的新的开源组件进行许可证检测,发现组件的许可证需要公开源代码,与产品研发的策略不符。通过及时更换组件,避免了潜在的法律风险。
随着数据量的激增和技术的日新月异,信创的发展将更加注重安全性的构建与提升,信易盾开源软件治理平台涵盖SAST、IAST、SCA等开源治理产品,帮助企业在信创升级的道路上扫清开源风险阻碍,携手建立安全稳健的数字化新生态。
扫一扫
374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
