权威认可!海云安入选国家工业信息安全发展研究中心软件物料清单工作组成员单位
近日,“开源赋能产业,生态共筑未来”2024开放原子开源生态大会在北京北人亦创国际会展中心举办。在软件物料清单(SBOM)分论坛,国家工业信息安全发展研究中心为开源风险评估与治理技术实验室首批软件物料清单(SBOM)工作组成员单位颁发证书,海云安成功入选“SBOM”工作组。
国家工业信息安全发展研究中心是工业和信息化部直属事业单位,是我国工业信息安全领域重要的服务保障机构,具有等保测评、商用密码安全性评估、信息安全风险评估、电子数据司法鉴定、软件测试等资质。此次成立SBOM工作组,并启动“筑链计划”,旨在健全提升产业链供应链韧性和安全水平制度,建立产业链供应链安全风险评估和应对机制,加强软件供应链风险治理能力建设,提升软件安全性和透明度,推动软件物料清单(SBOM)体系完善与推广应用。
01 海云安OSCA产品助力企业全面透视开源组件安全风险
随着开发技术不断发展,由于开源组件的成本节约和开发优势,企业将开源作为软件开发过程的重要组成部分,在研发效率的考量下,大量的软件应用都基于第三方组件、开源代码、通用函数库实现。开源组件和库几乎构成了每个行业应用程序的支柱。然而,随着开源使用的增加,随之而来的风险增加。仅在过去的一年中,开源安全的漏洞数量增加了 50%以上。为了大规模管理开源安全,企业需要高度重视开源组件的管理,以便全面摸清自身的资产状况,并准确了解可能存在的漏洞和暴露面,更好的帮助开源组件漏洞修复 。同时企业也需要一个解决方案来通过自动管理开源安全问题,减轻开发人员的负担。
海云安开源组件检测分析工具(OSCA),是用于检测和管理开源组件安全性、许可证合规性风险的综合性平台。以B/S架构的方式,进行用户交互与管理。实现对应用系统项目中引入的开源组件进行安全检测与监测。能够响应DevSecOps的需求,与Git、SVN等代码仓库集成获取项目代码,能够与DevOps流水线进行集成,系统构建时可自动化触发进行组件扫描。海云安OSCA产品一方面可通过对应用系统项目进行正向扫描检测,发现应用系统项目中引入的组件,形成SBOM资产清单、许可证清单,发现存在的许可证风险和公开漏洞。另一方面,能够通过对公开漏洞的持续监控,通过漏洞与组件、项目关联,及时对存在相关漏洞的项目推送预警。实现对开源组件的整体检测和监测管理。最终使得用户能够及时清晰掌握应用系统项目中的组件资产、许可证合规风险和安全漏洞风险,并有效应对应用系统开源组件相关风险,提高应用系统的合规有效性和安全可靠性。
海云安开源组件检测分析工具(OSCA)产品的核心优势:
01 国内领先的漏洞知识库 海云安OSCA产品提供海云安自有漏洞库,兼容NVD(通用漏洞披露库)、CNVD(国家信息安全漏洞共享平台)、CNNVD(国家信息安全漏洞库),具备业界领先的开源知识库和安全风险库,组件数量超过1亿、许可证数超过1900种、安全漏洞数超过30万,可实现日更新。 02 可视化的SBOM清单 海云安OSCA产品提供可视化的SBOM(软件物料清单)管理功能,通过可视化的方式清晰展现组件之间的依赖关系,并按照漏洞风险等级进行标识,支持导出CycloneDX、SPDX等主流格式的SBOM清单,帮助企业快速梳理组件资产,形成资产台账。 03 更加全面的漏洞修复方案 海云安OSCA产品在提供组件升级方案时,会提供父组件(直接引用)清单,研发比较关注父组件的升级版本推荐。海云安OSCA会对父组件本身及其引用的所有子组件的漏洞信息做统计,这样可以快速地帮助开发判断哪些父组件需要修复,而不用通过漏洞找到子组件然后找到该父组件的形式去找待修复的父组件,大大提高了修复效率。 04 代码自主化率分析 海云安OSCA产品支持检测代码组成成分,识别出自研代码和引用的第三方库中的开源框架组件,计算代码自主率, 为软件自主可控提供参考依据。 05 全天候漏洞监测预警 海云安OSCA产品是一款自主研发产品,基于人工智能的开源组件分析引擎技术,AI 自主学习升级开源软件知识库,可支持漏洞情报监控,提供实时漏洞情报和风险预警。 06 灵活的扩展集成方式 海云安OSCA产品提供完善的扩展集成API,可实现与各类研发工具链无缝集成,贯通整个研发DevOps流程,形成DevSecOps体系,提升开发安全自动化的能力。