4月20日,云计算开源产业联盟(OSCAR)对外公布了首批可信开源治理工具评测结果。经过报名、技术测试、远程审查、专家评审等一系列缜密流程,奇安信集团的开源卫士率先通过评估,成为首批通过评估的开源治理工具。
图:奇安信开源卫士产品界面
据悉,发起本次可信开源治理工具评估的云计算开源产业联盟,成立于2016年3月,由中国信息通信研究院(简称:中国信通院)联合多家云计算开源技术公司发起成立,旨在推进云计算企业利用开源软件不断提升技术水平。
近年来,开源热度不断攀升,开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题日趋凸显,企业需要借助开源治理工具对软件开发项目进行成分分析,从而降低开源风险,但不同开源治理工具的能力和技术均存在差距,给企业选型造成了不小的困惑。
为规范和提高开源治理工具服务商能力,帮助用户企业采购工具选型做参考,2019年下半年,中国信通院牵头起草《开源治理工具能力要求 第1部分:开源组成和安全性分析》标准,并联合国内30余家开源治理工具服务商、银行、科技企业等,完成标准编写工作。该标准是国内首个针对开源组成和安全性分析的开源治理工具标准,旨在规范和提高开源治理工具服务商能力,同时帮助用户企业采购工具选型做参考。
标准分为基本能力要求,技术支持能力,易用性能力要求,部署能力,工具安全性能力和多场景覆盖的兼容性能力六大方面,奇安信开源卫士凭借全方面的综合能力表现,最终顺利通过评估。
图:信通院开源治理工具能力要求的六大标准
奇安信代码安全负责人表示,奇安信开源卫士是一款集开源软件识别和安全管控于一体的软件成分分析系统。该系统通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞情报,利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能,帮助客户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。
据悉,开源卫士采用了多层次的组件依赖分析、高效的软件指纹分析等分析技术,对软件中所使用的开源软件进行精确识别,目前可识别4000万+个开源软件版本。开源卫士系统从多种来源获取开源软件漏洞情报,通过清洗、匹配、关联等一系列自动化分析处理后,向企业推送开源软件漏洞情报,让企业及时获取到影响其自身安全的最新开源软件漏洞信息,目前兼容NVD、CNNVD、CNVD等多个漏洞来源。产品能力框架如下图所示:
图:奇安信开源卫士产品能力框架
不久前,奇安信决定为信创生态战略合作伙伴,免费提供开源组件安全检测服务,服务时间持续至5月30日,很快在信创领域引发了非常好的反响。分析人士认为,开源卫士率先通过可信开源治理工具评估,标志着其六大方面能力已达到成熟和稳定可靠的水平,未来将在维护开源生态安全、推动行业健康发展中,承担起日益重要的角色和作用。