《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 新思科技聚焦開源治理 助力提升中國開源產(chǎn)業(yè)安全及合規(guī)水平

新思科技聚焦開源治理 助力提升中國開源產(chǎn)業(yè)安全及合規(guī)水平

2022-07-02
來源:21IC電子網(wǎng)
關(guān)鍵詞: 新思科技 開源軟件 OSCAR

  現(xiàn)在,,開源無處不在,。開源安全已經(jīng)成為供應(yīng)鏈安全中的重要一環(huán),企業(yè)需要從流程管理,、安全防護(hù)等多個(gè)方面進(jìn)行管控,,妥善管理開源使用,以確保開源軟件的安全性,。

  新思科技(Synopsys)近日應(yīng)邀參加 “OSCAR開源先鋒日”大會(huì)主題演講,,在中國首次公開分享了《2022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)的重點(diǎn)發(fā)現(xiàn),并與業(yè)界聚焦開源治理的應(yīng)用落地和趨勢,,進(jìn)行深度探討,。新思科技在開源管理領(lǐng)域擁有豐富經(jīng)驗(yàn),幫助團(tuán)隊(duì)管理在應(yīng)用和容器中使用開源和第三方代碼所帶來的安全,、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn),。此次,新思科技也深入?yún)⑴c了該行業(yè)大會(huì),,包括共同編寫《開源安全深度觀察報(bào)告》,、《開源合規(guī)指南(企業(yè)版)》,以及參加最新可信開源治理工具評(píng)估,。

  本次大會(huì)由中國信息通信研究院(以下簡稱“信通院”)和中國通信標(biāo)準(zhǔn)化協(xié)會(huì)主辦,云計(jì)算標(biāo)準(zhǔn)和開源推進(jìn)委員會(huì)支持,,云計(jì)算開源產(chǎn)業(yè)聯(lián)盟(OSCAR)承辦,,旨在推動(dòng)建立中國可信開源生態(tài)。

  新思科技助力發(fā)布《開源安全深度觀察報(bào)告》和《開源合規(guī)指南(企業(yè)版)》

  這兩份報(bào)告均由中國信通院牽頭編寫,?!堕_源安全深度觀察報(bào)告》梳理了主流的開源安全風(fēng)險(xiǎn),,從開源社區(qū)和開源用戶兩個(gè)角度提供開源安全的防范建議;《開源合規(guī)指南(企業(yè)版)》側(cè)重研究國內(nèi)外開源合規(guī)發(fā)展現(xiàn)狀,,通過分享理論知識(shí)與優(yōu)秀實(shí)踐,,旨在幫助企業(yè)提升內(nèi)部開源合規(guī)管控能力。

  新思科技是兩份報(bào)告的參編單位之一,,提供了OSSRA報(bào)告最新發(fā)現(xiàn),,并通過全球視野和豐富企業(yè)級(jí)最佳實(shí)踐,為信通院編寫行業(yè)報(bào)告提供可靠的數(shù)據(jù)和洞察,,助力信通院協(xié)助合作單位安全和高效地使用及管理開源組件,,為中國業(yè)界樹立應(yīng)用標(biāo)桿。

  2022年OSSRA報(bào)告覆蓋物聯(lián)網(wǎng),、能源與清潔技術(shù),、金融服務(wù)和金融科技、教育科技,、零售和電子商務(wù),、營銷科技等17個(gè)行業(yè)。研究發(fā)現(xiàn),,計(jì)算機(jī)硬件和半導(dǎo)體,、網(wǎng)絡(luò)安全、能源與清潔科技,、物聯(lián)網(wǎng)四個(gè)行業(yè)的代碼庫中100%包含開源代碼,。其余的垂直行業(yè)有93%到99%的代碼庫中包含開源代碼。即使比例最低的行業(yè) — 醫(yī)療保健,、健康科技和生命科學(xué) — 也仍然有高達(dá)93%代碼庫包含開源軟件,。

  新思科技中國區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國梁表示:“開源代碼在各行各業(yè)的代碼庫中占比很高,而且很大一部分代碼庫容易被利用和攻擊,。開源安全現(xiàn)在已經(jīng)成為全球化挑戰(zhàn),,存在開源安全漏洞、后門植入,、供應(yīng)鏈攻擊,、隱私信息泄露等問題。企業(yè)需要有方向,、持續(xù)地提升自身開源安全能力,,以安全地使用開源軟件,并更好地應(yīng)對(duì)開源安全威脅,?!?/p>

  Black Duck通過最新可信開源評(píng)估

  中國信通院在“OSCAR開源先鋒日”上發(fā)布了可信開源治理工具(SCA)評(píng)估等最新一批開源評(píng)估結(jié)果,為中國開源市場的良性發(fā)展提供指引。新思科技Black Duck軟件組成分析工具在此次嚴(yán)苛的評(píng)估中表現(xiàn)優(yōu)異,。

  可信開源治理工具(SCA)評(píng)估內(nèi)容涵蓋基本能力,、技術(shù)支持能力、易用性,、部署能力,、安全性以及兼容性,幫助規(guī)范和提升開源治理工具質(zhì)量,,同時(shí)適用于采購此類工具的開源用戶,,幫助用戶企業(yè)采購此類工具作為選型參考。

  Black Duck軟件組成分析實(shí)現(xiàn)以下功能全覆蓋:

  ? 多語言的支持能力

  ? 文件特征值識(shí)別,、依賴識(shí)別,、代碼片段識(shí)別、加密算法識(shí)別,、二進(jìn)制文件識(shí)別的支持能力

  ? 掃描結(jié)果包括開源組件許可證信息,,安全漏洞信息,漏洞修復(fù)建議的支持能力

  ? 開源組件新增漏洞預(yù)警信息提示

  ? 持續(xù)集成,,分布式部署,,并發(fā)掃描,彈性擴(kuò)容能力

  ? 數(shù)據(jù)傳輸安全,,用戶信息保護(hù),,安全監(jiān)測能力

  新思科技開源治理專家王永雷表示:“隨著開源供應(yīng)鏈安全越來越引起企業(yè)的重視,開源組件的識(shí)別的依賴組件深度成為開源治理非常重要的一個(gè)環(huán)節(jié),。此次,,新思科技開啟了10倍深度探測功能,以更加精確地識(shí)別依賴組件,。這種隱藏在冰山之下的依賴開源組件風(fēng)險(xiǎn)需要希望引起大家的重視,。此外,開源合規(guī)風(fēng)險(xiǎn)依然嚴(yán)重,,而且使用過期開源組件版本的情況非常的普遍,。這些會(huì)引起侵權(quán)、系統(tǒng)不穩(wěn)定,、維護(hù)成本提高或者易受攻擊的風(fēng)險(xiǎn)增加?,F(xiàn)在,開源無處不在,,我們需要對(duì)其使用進(jìn)行妥善管理,,才能構(gòu)建可信開源生態(tài)?!?/p>





圖片.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]