我们很高兴与大家分享安势信息已于近期加入 OpenSSF(开源安全基金会),与华为、腾讯、阿里云等企业一起成为该基金会的主要成员。
由 Linux 基金会联合多家硬件和软件厂商共同成立的 OpenSSF(开源安全基金会),其核心宗旨是提高开源软件(OSS)的安全性。
这个世界依赖于开源软件(OSS),如今绝大多数应用程序都是使用开源软件构建的,这已经不是什么秘密,开源软件的大量应用与敏捷开发使开发速度越来越快,一方面帮助企业将产品与服务以更快的速度推向市场,从而保持竞争力;另一方面,这种日益增长的依赖也给企业带来了安全风险。
还是以近期的 Log4j2 事件为例,Log4j2 作为 Java 代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒对人类社会的影响。全球新一轮的产业数字化升级对开源软件的依赖日益提升,我国《十四五规划 & 2035 年远景目标纲要》中也提到要“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系”。而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可能像一个新冠病毒一样快速传播,对全球的数字化产业带来无法估量的影响。
鉴于开源软件(OSS)的开放性和公共性,没有专门的机构负责确保开源的质量、维护和安全性,因而需要共同努力来降低这种风险。我们加入 OpenSSF 的目标是与社区紧密合作,并利用安势的技术尽可能帮助开源事业的发展。
安势的 CleanSource ( 清源 ) SCA 作为一款企业级的软件成分分析工具,提供多种探测技术,如:代码片段识别、依赖识别、文件识别、组件识别,结合强大的数据库,可为应用和容器构建准确的软件物料清单(SBOM)。作为一款企业级的 SCA 工具,CleanSource ( 清源 ) 具有快速、准确、全面等特点,“快速”体现在业界领先的扫描速度,不影响企业正常的开发流程,这对保障企业开发效率至关重要;“准确”体现在多种扫描引擎识别不同方式引入的开源组件;“全面”体现在多种探测技术可以提供不同颗粒度的扫描识别生成完整的软件物料清单等。同时,根据企业不同需求场景,可满足云端或本地部署。
另外,我们相信 PPT(People-Process-Technology)即:组织-流程-技术/工具相互协作的方式是有效开源治理的最佳实践,结合我们多年在不同行业、不同规模的企业开源治理实践,我们可以为企业提供开源治理咨询服务,帮助企业真正做好开源治理,安全合规使用开源软件。
此外,正如 OpenSSF 提到的跨行业的协作对于软件开放的未来和提高开源的安全性至关重要。我们也注意到信通院作为国内的官方机构正在联合国内如汽车业、制造业等行业成立相关的开源社区,未来安势也将积极加入此类社区并利用安势的技术为国内的开源产业提供助力。
我们很高兴能成为 OpenSSF 的一员,并期待与 Linux 基金会和 OpenSSF 合作伙伴一起保护世界开源软件的安全!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
