在 5 月 30 日 OpenChain 组织召开的第 42 期线上研讨会上,作为 DevSecOps 领域中国首家 OpenChain 项目成员,上海安势信息技术有限公司(下称安势信息)的技术市场总监王峰受邀出席并发表名为《SCA 厂商在中国市场面临的机遇与挑战》的全英文主题演讲。
王峰发表名为《SCA厂商在中国市场面临的机遇与挑战》的全英文主题演讲
王峰拥有威斯康星大学麦迪逊分校电子工程学士、宾夕法尼亚大学电子工程硕士学位,曾担任美国有线电视运营商 Comcast 高级软件工程师,负责网络自动化软件开发等工作,作为企业内部开源贡献者(Innersource Contributor)将项目和软件在企业内部进行分享使用。他在美国工作学习 11 年,在感受到开源软件在中国市场的蓬勃发展后,王峰选择回国并加入安势信息。
正如王峰在《SCA 厂商在中国市场面临的机遇与挑战》主题演讲中提到的,开源软件在中国市场经历了由萌芽到蓬勃发展的阶段。
开源软件在中国的缘起、落地与发展
中国的开源软件产业相较于欧美发达国家而言起步相对较晚,大致经历了从萌芽、云计算 &人工智能加速落地和高速发展的三个阶段。目前,中国已经逐步建立了相对成熟的开源生态系统。
在中国的开源生态领域,由云计算、科技企业孵化、创办的开源企业/项目和由开发者社区、代码托管平台、开源基金会、开源联盟共同构成了开源软件市场的参与主体。
中国企业在积极参与全球开源生态建设的过程中,影响力与日俱增。截止目前 GitHub 有 755 万名中国开发者,人数位居全球第二;更多的中国企业进入全球开源领域行业的前列;中国正成为全球开发者社区中不可忽视的重要力量。
此外,在这一时期,中国本土创办了很多的开源组织和社区,企业积极捐献开源项目,相关开源基金会的成立,共同推动中国开源产业发展壮大。安势信息此次加入 OpenChain,很荣幸能与中国信通院、华为和 OPPO 等伙伴共建可信、安全的软件供应链。
开源产业同样引起了国家层面的高度重视。政府将开源明确列入“十四五”规划中,并从法律层面明确加强对知识产权的保护。一些因违反开源许可证使用协议( 例如: GPL 3.0 ) 引发的版权纠纷案也引起了企业对开源许可证合规的重视。
国内的开源生态发展经历了一个从无都有,再到蓬勃发展的过程,对全球开源的贡献和影响力也会越来越大。
SCA 的发展 挑战与机遇并存
Apache Log4j 漏洞事件的爆发,让开源软件供应链安全的话题热度持续走高的同时,也为网络安全市场吹来了新的风向。随着开源风险的持续扩大,SCA(Software Composition Analysis,软件成分分析)正在得到更广泛的应用。
为了在 SCA 产品需求爆发式增长的市场中抢占高地,应用安全赛道涌现了一大批新的 SCA 厂商。据统计,中国 SCA 初创公司的数量较去年增长了 1 倍,资本也纷纷入局,开源领域的融资案例数量和资金总额不断创新高。
放眼全球,当前国内企业在软件安全方面的资金投入仅占全球企业软件安全平均投入金额的三分之一,中国网络安全市场的空间巨大。
随后,王峰分别从政治、经济、文化和技术四个角度分别阐释了 SCA 厂商当前面临的机遇和挑战。机遇来自于在国家产业转型升级的大环境下,政府对开源产业高度重视,相关政策和知识产权法律保护水平都有了显著提升。
关于 SCA 厂商面临的挑战,王峰分别列举了本土 SCA 厂商和海外 SCA 厂商亟需解决的问题并展开说明。中国开源软件产业起步相对较晚,相关专业技术人才相对匮乏;另一方面,企业对开源合规的重要性认识还不够;很多厂商提供的 SCA 工具往往更多的是基于安全而非合规,对于提供成熟的开源合规治理工具方面仍有很多经验需要积累。
海外 SCA 厂商在进入中国市场时也同样面临挑战。例如:对本地支持较弱,不能提供二次开发服务,缺少灵活性;而随着 SaaS 技术的发展,海外 SCA 供应商也在逐渐减少对本地化部署的支持,不能满足部分有本地化部署需求的用户;或因为一些其他因素对国内客户断供,无法为国内企业提供持续可靠的支持。
以上的外部因素和内部因素共同构成了中国 SCA 厂商面临的机遇与挑战。
拥抱开源,携手 OpenChain 共建开源生态
作为中国市场领先的软件供应链安全治理工具提供商,安势信息加入 OpenChain 组织,将极大地促进开源许可证合规领域的国际标准 OpenChain ISO/IEC 5230 在中国市场的推广,并帮助其在企业落地实施。
同时,作为 OpenChain 的一员,安势信息将持续对市场输出建立安全、可靠软件供应链的重要性的理念,不断提高市场对 SCA 工具和开源合规的重要性的认识。
安势信息在高速发展的同时,一直高度重视与开源生态各领域的协作。并放眼全球,与全球领先的国际开源组织和微软、谷歌、华为等伙伴一起携手共建安全可靠的开源软件供应链。
未来,安势信息将携手 OpenChain,持续提升市场和企业对 SCA 关注和投入,更加紧密地拥抱开源。