新思科技聚焦开源治理 助力提升中国开源产业安全及合规水平

现在，开源无处不在。开源安全已经成为供应链安全中的重要一环，企业需要从流程管理、安全防护等多个方面进行管控，妥善管理开源使用，以确保开源软件的安全性。

新思科技(Synopsys)近日应邀参加 “OSCAR开源先锋日”大会主题演讲，在中国首次公开分享了《2022年开源安全和风险分析》报告(OSSRA)的重点发现，并与业界聚焦开源治理的应用落地和趋势，进行深度探讨。新思科技在开源管理领域拥有丰富经验，帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。此次，新思科技也深入参与了该行业大会，包括共同编写《开源安全深度观察报告》、《开源合规指南(企业版)》，以及参加最新可信开源治理工具评估。

本次大会由中国信息通信研究院(以下简称“信通院”)和中国通信标准化协会主办，云计算标准和开源推进委员会支持，云计算开源产业联盟(OSCAR)承办，旨在推动建立中国可信开源生态。

新思科技助力发布《开源安全深度观察报告》和《开源合规指南(企业版)》

这两份报告均由中国信通院牵头编写。《开源安全深度观察报告》梳理了主流的开源安全风险，从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南(企业版)》侧重研究国内外开源合规发展现状，通过分享理论知识与优秀实践，旨在帮助企业提升内部开源合规管控能力。

新思科技是两份报告的参编单位之一，提供了OSSRA报告最新发现，并通过全球视野和丰富企业级最佳实践，为信通院编写行业报告提供可靠的数据和洞察，助力信通院协助合作单位安全和高效地使用及管理开源组件，为中国业界树立应用标杆。

2022年OSSRA报告覆盖物联网、能源与清洁技术、金融服务和金融科技、教育科技、零售和电子商务、营销科技等17个行业。研究发现，计算机硬件和半导体、网络安全、能源与清洁科技、物联网四个行业的代码库中100%包含开源代码。其余的垂直行业有93%到99%的代码库中包含开源代码。即使比例最低的行业 — 医疗保健、健康科技和生命科学 — 也仍然有高达93%代码库包含开源软件。

新思科技中国区软件应用安全技术总监杨国梁表示：“开源代码在各行各业的代码库中占比很高，而且很大一部分代码库容易被利用和攻击。开源安全现在已经成为全球化挑战，存在开源安全漏洞、后门植入、供应链攻击、隐私信息泄露等问题。企业需要有方向、持续地提升自身开源安全能力，以安全地使用开源软件，并更好地应对开源安全威胁。”

Black Duck通过最新可信开源评估

中国信通院在“OSCAR开源先锋日”上发布了可信开源治理工具(SCA)评估等最新一批开源评估结果，为中国开源市场的良性发展提供指引。新思科技Black Duck软件组成分析工具在此次严苛的评估中表现优异。

可信开源治理工具(SCA)评估内容涵盖基本能力、技术支持能力、易用性、部署能力、安全性以及兼容性，帮助规范和提升开源治理工具质量，同时适用于采购此类工具的开源用户，帮助用户企业采购此类工具作为选型参考。

Black Duck软件组成分析实现以下功能全覆盖：

• 多语言的支持能力

• 文件特征值识别、依赖识别、代码片段识别、加密算法识别、二进制文件识别的支持能力

• 扫描结果包括开源组件许可证信息，安全漏洞信息，漏洞修复建议的支持能力

• 开源组件新增漏洞预警信息提示

• 持续集成，分布式部署，并发扫描，弹性扩容能力

• 数据传输安全，用户信息保护，安全监测能力

新思科技开源治理专家王永雷表示：“随着开源供应链安全越来越引起企业的重视，开源组件的识别的依赖组件深度成为开源治理非常重要的一个环节。此次，新思科技开启了10倍深度探测功能，以更加精确地识别依赖组件。这种隐藏在冰山之下的依赖开源组件风险需要希望引起大家的重视。此外，开源合规风险依然严重，而且使用过期开源组件版本的情况非常的普遍。这些会引起侵权、系统不稳定、维护成本提高或者易受攻击的风险增加。现在，开源无处不在，我们需要对其使用进行妥善管理，才能构建可信开源生态。”