您好,欢迎来到深圳市智慧城市产业协会
深圳市智慧城市产业协会
最新公告:
深圳智慧城市建设稳步推进,数字深圳蓝图愈发清晰赋能数字经济,共创智慧未来 | 第12届中国智慧城市高峰会在深圳举行2023第12届中国智慧城市高峰会即将开幕2023世界数字城市大会向您发出邀请!关于征集智慧城市产业协会专家委员会专家的通知
当前位置:深圳市智慧城市产业协会 » 行业要闻 » 开源时代“矛”“盾”博弈 安势信息的“安全观”

热门文章

最新发布

行业要闻

开源时代“矛”“盾”博弈 安势信息的“安全观”

时间:2022-11-17 10:55 浏览:1076 来源:罗超
摘要:数字化时代,AIoT、大数据、云技术、元宇宙、AV/VR等新技术不断在科技圈出圈,这其中离不开开源软件的支持。但任一科技都有两面性,如“双刃剑”。开源软件在大刀阔斧重构世界时,一场安全风暴引发新思考,也敲响了开源软件在十字路口下的安全警钟。

  千行百业下的万千场景,以软件来定义一切,是共识。在生态共建当下,因而我们主动或被动的,进入了开源时代。


  数字化时代,AIoT、大数据、云技术、元宇宙、AV/VR等新技术不断在科技圈出圈,这其中离不开开源软件的支持。但任一科技都有两面性,如“双刃剑”。开源软件在大刀阔斧重构世界时,一场安全风暴引发新思考,也敲响了开源软件在十字路口下的安全警钟。


  11月6日-8日,2022国际开源节在深圳福田会展中心隆重召开,这是一场属于开源的科技盛宴,也是开源技术创新交流的大舞台。在11月7日的OpenSSF开源安全中国峰会的分会场上,上海安势信息技术有限公司资深解决方案架构师朱贤曼发表了题为《企业如何应对开源软件供应链安全问题》的精彩分享与技术解剖,为进一步探知安势信息这家软件安全企业的所思所想、商业逻辑、征战路径,以及开源安全的“工具”革命,在论坛之后记者对朱贤曼进行了一次深入专访。

1668653582421626.png

上海安势信息技术有限公司资深解决方案架构师朱贤曼


  第一次与之接触,朱贤曼优雅的谈吐、睿智的思维、干练的作风,是给记者的第一印象,由于出众的亲和力和湖南老乡的缘故,让我们采访在轻松愉悦中悄然展开。


  CPS中安网:企业越来越依赖开源软件来加速开发与创新。但软件供应链安全事件频发,已成为企业开展经营活动面临的重大隐患。关于企业做开源合规治理,有哪些建议?


  朱贤曼:在全球开源软件蓬勃发展的大背景下,很少有企业或组织不使用开源软件。随着近年来频繁爆发的开源软件供应链安全事件,使企业意识到开源软件的使用会带来的巨大风险。如何保障开源软件供应链安全是一个系统工程,需要开源生态中的各方一起协作努力。


  企业做开源合规治理,最重要的就是先具备安全合规意识,这个是基础,甚至比其他层面还要重要。在树立安全合规意识的基础上,企业需要搭建开源治理体系,整体管控软件供应链风险。


  现状是,国内偏大型公司在这些方面做得比较好,对于中小公司而言,更多还是会优先关注功能等问题。因为开源合规对于公司而言是一个成本中心,而不是创收中心,中小公司更多考虑的还是如何活下来。但可以看到,这几年国内对于开源的讨论越来越多,相信慢慢也会有更多人开始关注开源合规与安全问题。


  CPS中安网:最近欧盟和美国陆续推出软件供应链安全相关的法案法规,这对我们国内企业的影响无疑是巨大的。请问您如何看待这种变化?


  朱贤曼:欧盟《网络弹性法案》及美国参议院《2022年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。合规且安全的出海,企业才会有更多的创新和发展空间可言。


  但是现状是我国企业对于网络安全的重视程度不够、工具和人才投入少、缺乏相应的流程和体系等等,建立这一整套体系来满足出口地区的规范将会是比较艰难的。欧盟及美国针对开源软件的提案也势必会产生深远影响,形成更严格的市场准入规范和标准,中国出口型企业需要做好准备来应对这些变化。


  对于大量使用开源代码的企业,需要尽快建立开源治理体系、采购相关的 SCA(Software Composition Analysis, 软件成分分析)工具、培养相关的开源人才。


  CPS中安网:作为国产SCA工具领导者,安势信息独立研发的清源CleanSource SCA工具一经推出迅速获得市场认可。其竞争优势是什么?


  朱贤曼:现如今,混源开发模式已成为常态,开源软件的使用比例越来越高。开源软件帮助企业显著提高开发效率的同时也为企业带来了巨大的安全挑战。随着软件供应链攻击浪潮愈演愈烈,提升软件供应链安全已成为全球共识。


  清源(CleanSource) SCA是在上述背景下应运而生的。清源(CleanSource) SCA拥有一个大型的开源代码知识库,可以支持代码片段级别的扫描,检测声明和未声明的开源组件。清源(CleanSource) SCA通过生成完整、准确和可追溯的SBOM(Software Bill of Materials, 即软件物料清单),不仅可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的运作效率并提供可追溯性。


  在软件开发过程中,企业将不可避免的直接或间接引入开源软件。如在开发阶段由开发人员引入的代码片段,通过Maven等常用的包管理器引入的依赖等,正是由于开源软件可能通过多种不同形式引入代码库,这就要求SCA工具必须具备不同的探测技术来准确识别在各种场景下引入代码库中的开源软件。


  场景为王方为道,好的产品只有在场景中真正解决市场痛点,才可有应用的广阔天地,清源(CleanSource) SCA工具充分覆盖所有的引入场景:


  1、多维度的探测技术:可进行代码片段识别、文件识别、组件识别、依赖识别和容器镜像扫描。通过多种行业领先的算法打造出安全、合规、高效、易用的软件成分分析系统,为企业梳理研发过程中的软件物料清单,提供强大的技术支持。


  2、强大的数据库:拥有海量数据储备,其中包含24万漏洞数据、1亿7千万的组件信息、3万亿行开源代码、2,000多种许可证类型、1000亿文件特征信息等,检测范围覆盖各大开源组件仓库。清源SCA庞大的数据库为准确识别开源组件提供强大的支撑,保证组件识别的完整性。同时,清源SCA的专家团队不断优化数据库匹配算法的效率和性能,保证持续更新和积累。


  3、企业级的解决方案:作为一款已在大型互联网企业落地实践的SCA工具,具备以下特点:安全与合规并重、高并发、可扩展性、数据隔离、支持大型项目(>5GB、多语言)扫描。凭借突出的产品性能,可通过负载均衡等方式满足高并发的需求。同时具有极强的可扩展性、可满足数据隔离,来达到资源的合理分配和最大化利用。


  4、灵活的部署和更新:清源SCA引擎和KB库均支持本地部署,支持扫描、代码比对等全部离线扫描分析能力,扫描过程无需连接外网;并且代码进行不可逆加密后识别,无代码泄露风险。KB库支持增量更新,多种方式满足客户在不影响业务的前提下快速、高效的完成更新。


  多维度的探测技术、强大的数据库、企业级的解决方案以及灵活的部署和更新方式构成了清源SCA的强大产品优势。


  采访后记:


  开源是科技创新的加速引擎,但同时开源存在巨大的安全风险。如何以己之盾,御彼之矛,这是开源软件供应链生态下的集体思考。作为开源软件供应链的一员,安势信息选择SCA工具切入应用安全赛道,深度理解行业痛点,帮助企业解决实际问题,助力打造和谐的开源生态。这是安势信息的初心与本初,也是其使命与价值所体现。


  不积跬步,无以至千里。朱贤曼在采访最后也在不断思考,开源安全治理如何从“奢侈品”过渡到“必需品”的市场征程。尽管新事物的发展都需遵循市场规律与法则,也是一个循序渐进过程。安势信息将坚持在软件供应链风险治理的路上持续发力,这将是机会,也是任重道远的挑战,更加是光荣与梦想交织的商业之旅。


深圳市智慧城市产业协会版权所有 Copyright © 2006-2016
电话:+86-0755-88309165 传真:+86-0755-88309166 邮箱:ssciamsc@163.com
地址:深圳市福田区深南大道6025号英龙大厦4楼
备案号:粤ICP备16040645号-1