開源軟件是數字時代研發創新和效率的引擎
•開源軟件佔所使用的所有軟件的70%,是支持企業轉型的創新生態系統不可或缺的部分。
•根據奇安信的2023中國軟件供應鏈安全分析報告,被分析的2631個國內企業軟件項目中,100% 使用了開源軟件,平均每個項目使用155個。
開源軟件使用存在的風險
開源並不是“免費”,開源軟件的使用,可能存在嚴重的組件安全漏洞、許可證合規、運維等風險。
•安全漏洞
開源組件和第三方依賴關係繁多且變化頻繁,可能潛伏未知的安全漏洞,給企業和組織帶來潛在風險
•許可證風險
組件和依賴的使用,可能受到各種許可證的限制,從而導致法律糾紛、代碼被迫開源等問題。
•運維風險
研發所選用的低質量開源組件,可能更新頻率低甚至停止維護,帶來質量和維護問題。
SBOM概念
SBOM(Software Bill of Materials)是一種清單或記錄,用於描述軟件產品的構成要素,類似物理產品的配料清單,詳細列出軟件中所包含的所有組件、相關許可證協議的清單,以及所有組件之間依賴關係的描述。
SBOM提供了可見性,幫助用戶精準掌控開源軟件版本、依賴以及許可證信息,是開源治理的有效抓手。
京東雲星光SSCM開源軟件治理工具
京東雲星光SSCM(Software Supply Chain Management),是基於SBOM的開源軟件治理工具。它源自京東開源組件管理、安全合規及知識產權保護的實踐探索,提供全面、準確和實時的軟件物料清單採集與分析能力,打造企業級標準化軟件成分信息庫,並集成組件漏洞庫和許可證庫,賦能組織高效地管理和使用開源軟件,在獲得開源收益的同時,確保安全與合規,充分釋放開源軟件潛力。
產品目標
高效地管理和使用開源軟件,在獲得開源收益的同時,確保安全與合規,充分釋放開源軟件潛力。
產品功能
•軟件成分分析
識別軟件所有開源組件、版本及依賴關係,鏡像Layers,產生軟件開源漏洞和許可證風險評估報告,按需生成各種格式SBOM文件。
•軟件資產管理
建立包含開源臺賬的軟件資產庫,見人之所未見,實現對資產進行精細化管理,並能夠加入篩選規則,進而規範開源組件的使用流程。
•組件反向溯源
建立反向溯源關係,定位指定版本的組件被組織內軟件所使用情況,當出現安全漏洞時,能夠精準鎖定受影響的軟件範圍,快速響應。
•開源漏洞管理
提供完善的組織組件漏洞庫,並實時同步權威漏洞信息,同時支持漏洞的檢索和查看,追溯受影響的軟件包,並提供修復建議。
•許可證管理
提供完整的開源許可證庫,落地京東集團開源軟件合規使用規範,內嵌京東法律合規團隊對百種以上常見開源許可證的應用建議。
•在線工具
SBOM驗證工具檢驗SBOM文件是否被篡改,保證一致性與安全性;SBOM格式轉換工具提供SBOM文件多種標準的轉換能力。
•工具集成
與CI/CD集成自動採集SBOM信息並提前預警風險,與製品庫集成規範開源組件的引入,與信息安全管理工具集成快速響應漏洞。
應用場景
•開源組件選用
基於開源組件信息庫遴選優質組件,審覈及引入新的組件
•安全開發
儘早發現和解決安全風險,實現安全左移,阻斷隱含高危安全風險的應用上線
•漏洞應急響應
通過反向追溯軟件,迅速確定漏洞的影響範圍,快速修復或替換
•軟件採購
掃描外採軟件成分以評估其質量、安全性及合規性,確保符合組織要求
•軟件資產管理
有效管理軟件資產,包括軟件和組件的版本、依賴關係和安全狀況等
•審計及知識產權
軟件資產審計,安全審計,許可證合規審計及保護知識產權
產品價值
•提高質量與安全
平臺賦能開發者選擇高質量的組件,並能夠有效跟蹤組件的來源、版本和依賴關係,快速定位並解決漏洞,確保組件的質量,保障組織安全。
•提高效率
平臺賦能研發團隊快速發現可信的組件,便利地使用組件,同時能夠精準地定位組件漏洞,從而提升軟件架構設計、編碼,以及解決問題的效率。
•降低風險
平臺提供精細和動態的開源組件、漏洞及許可證信息,賦能安全合規人員高效的合規審計和快速的漏洞修復,降低安全合規風險。
•降低成本
平臺的使用,既能大大降低軟件交付全生命週期中使用和維護組件的成本,又有效減少研發組織管理組件及修復組件漏洞的成本。
免費試用,掃一掃