根据全球最具权威的IT研究与顾问咨询公司Gartner发布数据来看,从2010年到2018年软件程序代码中采用开源框架或组件、第三方库的比例每年以30%的速度在增长,大量的软件系统引入了开源代码,有的系统引用开源代码比例甚至达到了80%以上,这在IT研发环节,大幅度提升了软件研发的效率,降低了成本,但是开源软件中大量缺陷、甚至安全漏洞也一并打包进入到了软件部署包,从而进入了软件供应链各个环节。
根据Gartner调查结果显示,很多公司软件研发企业的管理人员、程序员对于引入开源代码的风险不了解或了解很少。虽然很多公司包括客户通过引入验收测试、第三方测试等手段对系统进行测试,但是目前软件测试中,对于安全性测试仅仅局限在数据安全、权限安全等方面,对于系统安全测试重视程度较弱,思想上存在侥幸心理,认为自己的系统不会被恶意攻击者攻击。另外,由于目前国内尚无对软件代码中第三方库、开源框架、组件进行检测的工具,导致引入开源代码和第三方库的质量无法进行检测,无法确定引入的代码中是否存在恶意后门、病毒以及安全漏洞,可能直到爆发安全事件才能暴露出来。还有一个方面,就是引入开源代码的许可证问题,目前开源软件主流的许可证有80多种,国内研发人员不太注重许可证的问题,但是如果软件产品出口,则可能存在着产权风险。
北京大学软件工程国家工程研究中心一直致力于软件工程的研究,立足于国际技术研究前沿,洞察软件工程发展的趋势,与北京北大软件工程股份有限公司合作,历经五年研制了CoNET软件成分和安全分析平台,于本月7月15日即将正式发布。该工具采用主流架构,B/S形式部署,可以进行分布式部署,为企业研发提供代码成分和安全检测,能够减少企业研发风险,保护IT投资。该产品上市,填补了空白在开源软件检测领域的空白。
CoNET对主流开源网站Github、Gitlab、Source Force等上约4000万个开源项目超过75亿开源文件进行分析、对于超过50万多个二进制代码进行了分析。CoNET安全漏洞数据库积累了超过20万个公开漏洞,同时也积累了未公开漏洞数据。支持80种以上许可证分析。目前CoNET数超过50T上代码和漏洞数据,全部实现了漏洞和项目、文件和代码的一一对应。
CoNET产品提供企业软件代码的成分清单,能够使IT人员全面掌握组件、版本、许可证、漏洞以及对应的升级信息等。通过对引用组件的漏洞检测、修复和跟踪,能够规避0day漏洞,监控企业面临的软件新风险。通过成分分析,让采购方或管理者全面掌握代码的自研比例,能够最小化成本和资源,为评估软件资产提供依据。工具采用CVSS国际通用缺陷评估标准,提供企业对软件质量的评估。
(完)
1556
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
