近日，“开源赋能产业，生态共筑未来”2024开放原子开源生态大会在北京北人亦创国际会展中心举办。在软件物料清单（SBOM）分论坛，国家工业信息安全发展研究中心为开源风险评估与治理技术实验室首批软件物料清单（SBOM）工作组成员单位颁发证书，海云安成功入选“SBOM”工作组。

国家工业信息安全发展研究中心是工业和信息化部直属事业单位，是我国工业信息安全领域重要的服务保障机构，具有等保测评、商用密码安全性评估、信息安全风险评估、电子数据司法鉴定、软件测试等资质。此次成立SBOM工作组，并启动“筑链计划”，旨在健全提升产业链供应链韧性和安全水平制度，建立产业链供应链安全风险评估和应对机制，加强软件供应链风险治理能力建设，提升软件安全性和透明度，推动软件物料清单（SBOM）体系完善与推广应用。

随着开发技术不断发展，由于开源组件的成本节约和开发优势，企业将开源作为软件开发过程的重要组成部分，在研发效率的考量下，大量的软件应用都基于第三方组件、开源代码、通用函数库实现。开源组件和库几乎构成了每个行业应用程序的支柱。然而，随着开源使用的增加，随之而来的风险增加。仅在过去的一年中，开源安全的漏洞数量增加了 50%以上。为了大规模管理开源安全，企业需要高度重视开源组件的管理，以便全面摸清自身的资产状况，并准确了解可能存在的漏洞和暴露面，更好的帮助开源组件漏洞修复 。同时企业也需要一个解决方案来通过自动管理开源安全问题，减轻开发人员的负担。

海云安开源组件检测分析工具（OSCA），是用于检测和管理开源组件安全性、许可证合规性风险的综合性平台。以B/S架构的方式，进行用户交互与管理。实现对应用系统项目中引入的开源组件进行安全检测与监测。能够响应DevSecOps的需求，与Git、SVN等代码仓库集成获取项目代码，能够与DevOps流水线进行集成，系统构建时可自动化触发进行组件扫描。海云安OSCA产品一方面可通过对应用系统项目进行正向扫描检测，发现应用系统项目中引入的组件，形成SBOM资产清单、许可证清单，发现存在的许可证风险和公开漏洞。另一方面，能够通过对公开漏洞的持续监控，通过漏洞与组件、项目关联，及时对存在相关漏洞的项目推送预警。实现对开源组件的整体检测和监测管理。最终使得用户能够及时清晰掌握应用系统项目中的组件资产、许可证合规风险和安全漏洞风险，并有效应对应用系统开源组件相关风险，提高应用系统的合规有效性和安全可靠性。

海云安开源组件检测分析工具（OSCA）产品的核心优势：