随着数字化应用的高速发展,软件已被各行各业广泛应用,成为必不可少的一部分。全球范围内90%以上的云服务器操作系统、80%以上的移动操作系统都基于开源软件。我国银行、能源、国防、医疗、电力等重要行业运行的系统大量使用开源软件。全球范围内有关软件供应链安全的攻击事件层出不断,对个人、企业,甚至国家安全都造成了严重威胁。
Checode奇科厚德为什么要做开源软件供应链治理工具?
奇科厚德研发总经理胡滨先生在开源软件治理方面已经有十五年以上的经验,是国内最早从事该领域的技术专家,曾经服务过华为、新华三等国内开源治理领先的企业,他在工作过程中非常重视技术积累,感受到这个方向即将成为风口,于是以创业者身份投资这一领域。
(奇科厚德研发总经理胡滨先生)
胡滨表示,人写的软件就一定有漏洞,开源软件也不例外,平均每个代码库约有158个漏洞,这些漏洞会被引用,从而影响软件产品的安全。奇科厚德的初心就是要持续专注于技术创新应用,通过采用开源软件供应链治理工具,可以有效保障软件产品的安全性和可靠性,减少潜在的风险和损失,守护中国开源安全。我们希望通过自身努力,在这一技术领域实现不断突破。
奇科厚德定位是专注于开源代码合规和安全性检测工具的供应商,已先后开发了具有自主知识产权的 Checode 开源助手、 软件成分分析(SCA)、 代码同源分析(CHS) 、漏洞猎手V-Hunter等分析工具,在功能、测试准确度及测试效率上达到国际领先水平,可实现同类产品进口替代。Checode开源助手是首家以代码片段扫描技术通过中国信通院开源治理工具评估的产品,被评为《2022-2023年度国产开源软件治理工具优秀产品》。公司多次参与国家级信创检测机构的工作,为其提供测试工具和技术支持。多家信创企业用户采用我们的产品进行代码自查和研发改进,快速通过信创测试。
用户之所以选择奇科厚德,是因为奇科厚德给他们提供了价值。这里面有个非常关键的点,就是我们一直在不断思考和探索,帮助企业进行开源软件治理。
我们研发—Checode SCA
据胡滨介绍,在SCA工具领域,公司首先攻克的是这个领域中最难的、也是国际上最多采用的代码片段扫描技术,积累了庞大的开源知识库。这两年,又相继研发了代码依赖分析和二进制代码分析技术。
Checode SCA采用包含代码片段扫描、依赖代码分析、二进制代码分析的三技术分析引擎系统,分析被测软件源代码中的开源组件和对外依赖的开源组件,发现项目代码中的开源成份和自研成份,形成软件材料清单--SBOM,并根据SBOM解析组件对应的开源许可证义务及许可证冲突,帮助企业识别代码合规性风险;根据SBOM关联组件漏洞知识库以及直接查找漏洞代码,获得对应的开源漏洞信息和修复建议,让企业及时解决开源漏洞安全隐患;SBOM中记录的开源组件在未来出现新的漏洞时,系统通过邮件通知管理员,提醒用户及时修复漏洞,消除风险。可应用场景与解决方案
软件发布前的安全风险评估:企业通过二进制成分分析服务,可以在产品发布前通过开放API进行安全风险评估。这不仅有助于提前识别合规风险,降低合规风险,还能在测试阶段排查潜在的安全风险,确保发布包不会在市场中出现已知漏洞、不安全配置、信息泄露等问题。
开源软件引入的全面评估:支持企业在引入开源软件时进行全面评估。从恶意代码检测到对制品包的风险评估,企业可以在最早的阶段识别潜在的安全风险,包括漏洞、License合规风险等,从而保障引入的开源软件的可靠性。
用户之所以选择奇科厚德,是因为奇科厚德给他们提供了价值。
胡滨表示我们一直在不断思考和探索,如何帮助企业进行开源软件治理。奇科厚德已拥有最全面的开源知识库,开源知识库包含超2000万以上开源组件,收录安全漏洞50W+。收录主流OSI与FSF认证许可证200+,许可证数据库含2000+开源许可证。服务于金融、通信、电商、汽车等多个行业的用户。
胡滨认为,近些年软件供应链安全概念的普及和推广,开源治理的重要性和需求也日益凸显。越来越多的机构和企业认识到,开源软件已经成为自身软件的重要组成部分,而开源治理则是保障软件质量、安全和合规性的关键。Checode SCA集成了多个开源管理平台的功能,包括代码审查、依赖管理、许可证合规性检查等。能够帮助企业实现全面的开源管理,从开发到部署,从合规性到安全性,全方位保障企业的利益。未来,我们将继续关注开源治理的最新动态和技术趋势,不断推出创新的产品和服务,为国内用户提供更加优秀的开源治理解决方案,共同推动开源生态的健康发展。