安势清源 SCA 助力超大规模高科技企业加速开源风险治理

上海安势信息技术有限公司的清源SCA工具在腾讯成功部署,该工具通过多维度探测技术、强大的数据库和企业级解决方案,确保开源软件的安全与合规。清源SCA具备高并发、可扩展性和数据隔离特性,支持私有云和公有云部署,满足大型企业需求,助力腾讯提升开源治理水平。
摘要由CSDN通过智能技术生成

近日,上海安势信息技术有限公司的清源 SCA 工具在腾讯成功部署。

开源软件在促进全球的技术创新方面发挥着越来越重要的作用,企业越来越依赖开源软件来加速开发与创新。据 Gartner 的调查报告,如今超过 90% 的企业在其重要的 IT 系统中使用了开源软件。不过正如 2021 年底爆发的 Log4j 事件对整个软件供应链造成的影响,开源安全问题仍然充满挑战。通过 SCA (Software Composition Analysis, 软件成分分析) 工具,可帮助企业构建准确的 SBOM (Software bill of materials, 软件物料清单),提供清晰的软件成分可视性分析,降低和管理应用或容器中因使用开源软件和其他第三方代码(软件)引入的安全、质量与许可证合规性风险。

在软件开发过程中,企业将不可避免的直接或间接引入开源软件。如在开发阶段由开发人员引入的代码片段,通过 Maven 等常用的包管理器引入的依赖等,正是由于开源软件可能通过多种不同形式引入代码库,这就要求 SCA 工具必须具备不同的探测技术来准确识别在各种场景下引入代码库中的开源软件。在这一点上,清源 SCA 充分覆盖所有的引入场景:

1、多维度的探测技术

清源 SCA 可进行代码片段识别、文件识别、组件识别、依赖识别和容器镜像扫描。 通过多种行业领先的算法打造出安全、合规、高效、易用的软件成分分析系统,为企业梳理研发过程中的软件物料清单,提供强大的技术支持。

SCA 工具的挑战之一是如何完整、准确的识别出产品中所引入的开源组件,除了多维度的探测技术和匹配算法外,同时必须有一个强大的数据库,在此基础上,关联组件版本的许可证、漏洞、加密算法等其他特征数据。

2、强大的数据库

清源 SCA 拥有海量数据储备,其中包含 24 万漏洞数据、1 亿 7 千万的组件信息、3 万亿行开源代码、2,000 多种许可证类型、1000 亿文件特征信息等,检测范围覆盖各大开源组件仓库。

清源 SCA 庞大的数据库为准确识别开源组件提供强大的支撑,保证组件识别的完整性。同时,清源 SCA 的专家团队不断优化数据库匹配算法的效率和性能,保证持续更新和积累。

随着近年 DevOps 的应用与发展,SCA 工具作为工具链当中的一环,集成与接入能力显得尤为重要;其次,作为一款成熟的企业级的 SCA 工具,必须经过大型企业的落地实践检验,产品性能需要满足大型企业的高标准的要求,工具绝不能成为影响研发效率的卡点。通常大型企业的业务场景、组织架构比较复杂,所以一款企业级 SCA 工具必须具备负载均衡等灵活的方式来满足企业复杂的需求场景。

3、企业级的解决方案

清源 SCA 作为一款已在大型互联网企业落地实践的 SCA 工具,具备以下特点:

● 安全与合规并重

● 高并发

● 可扩展性 

● 数据隔离

● 支持大型项目(>5GB、多语言)扫描

清源 SCA 凭借突出的产品性能,可通过负载均衡等方式满足高并发的需求。同时具有极强的可扩展性、可满足数据隔离,来达到资源的合理分配和最大化利用。

为满足企业的数据安全合规需求,清源 SCA 同时支持私有云和公有云部署。作为一款软件成分分析的工具,在提供本地部署的同时兼顾数据库快速、高效更新。

4、灵活的部署和更新

清源 SCA 引擎和 KB 库均支持本地部署,支持扫描、代码比对等全部离线扫描分析能力,扫描过程无需连接外网;并且代码进行不可逆加密后识别,无代码泄露风险。KB 库支持增量更新,多种方式满足客户在不影响业务的前提下快速、高效的完成更新。

多维度的探测技术、强大的数据库、企业级的解决方案以及灵活的部署和更新方式构成了清源 SCA 的强大产品优势,同时,此次在腾讯的成功部署,体现了安势信息对大型企业强大的技术支持能力。

作为开源领域的“资深玩家”,腾讯很早就开始接触和使用 SCA 工具来推动内部开源安全和合规治理。面对规模愈趋庞大、复杂的开源组件,一款兼具扫描准确与高性能的企业级 SCA 工具显得尤为重要。清源 SCA 工具,经过多轮 PoC 测试,从众多国内外竞品中脱颖而出,满足了腾讯对 SCA 工具的高标准要求:扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面,达到提升内部安全与合规管控的目的。

随着国家数字化转型不断加速和开源产业的持续发展,多项发布的政策把开源上升到国家政策层面,肯定了开源模式对信息技术创新和软件产业发展的重要性。同时,频繁的开源软件安全漏洞使开源软件的安全与合规风险受到空前重视,我们十分肯定 SCA 软件成分分析技术将得到更加广泛的应用。未来,安势信息会继续加大对产品研发的投入,不断进行技术创新,助力提升中国软件供应链安全。

关键词:软件成分分析;SCA;清源SCA;开源安全和合规;开源风险;代码片段识别;SBOM;软件物料清单;腾讯;腾讯开源治理;安势信息;软件供应链安全;开源风险治理

关于安势信息

上海安势信息技术有限公司成立于 2021 年,致力于解决软件供应链中的安全和合规问题,目前已完成数千万元天使轮融资。作为中国市场领先的软件供应链安全治理工具提供商,安势信息以 SCA(软件成分分析)产品作为切入点,围绕 DevSecOps 流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网 www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值