企業動態

4月20日，雲計算開源產業聯盟(OSCAR)對外公佈了首批可信開源治理工具評測結果。

經過報名、技術測試、遠程審查、專家評審等一系列縝密流程，奇安信集團的開源衞士率先通過評估，成為首批通過評估的開源治理工具。

圖 奇安信開源衞士產品界面

據悉，發起本次可信開源治理工具評估的雲計算開源產業聯盟，成立於2016年3 月，由中國信息通信研究院（簡稱：中國信通院）聯合多家雲計算開源技術公司發起成立，旨在推進雲計算企業利用開源軟件不斷提升技術水平。

近年來，開源熱度不斷攀升，開源許可證的兼容性問題、開源項目的合規問題、開源安全漏洞問題和開源知識產權的侵權等問題日趨凸顯，企業需要藉助開源治理工具對軟件開發項目進行成分分析，從而降低開源風險，但不同開源治理工具的能力和技術均存在差距，給企業選型造成了不小的困惑。

為規範和提高開源治理工具服務商能力，幫助用户企業採購工具選型做參考，2019年下半年，中國信通院牽頭起草《開源治理工具能力要求 第1部分：開源組成和安全性分析》標準，並聯合國內30餘家開源治理工具服務商、銀行、科技企業等，完成標準編寫工作。

該標準是國內首個針對開源組成和安全性分析的開源治理工具標準，旨在規範和提高開源治理工具服務商能力，同時幫助用户企業採購工具選型做參考。

圖 信通院開源治理工具能力要求的六大標準

標準分為基本能力要求，技術支持能力，易用性能力要求，部署能力，工具安全性能力和多場景覆蓋的兼容性能力六大方面，奇安信開源衞士憑藉全方面的綜合能力表現，最終順利通過評估。

奇安信代碼安全負責人表示，奇安信開源衞士是一款集開源軟件識別和安全管控於一體的軟件成分分析系統。

該系統通過智能化數據收集引擎在全球範圍內獲取開源軟件信息和漏洞情報，利用自主研發的開源軟件分析引擎為企業提供開源軟件資產識別、開源軟件安全風險分析、開源軟件漏洞告警及開源軟件安全管理等功能，幫助客户掌握開源軟件資產信息，及時獲取開源軟件漏洞情報，降低由開源軟件帶來的安全風險，保障企業交付更安全的軟件。

據悉，開源衞士採用了多層次的組件依賴分析、高效的軟件指紋分析等分析技術，對軟件中所使用的開源軟件進行精確識別，目前可識別4000萬+個開源軟件版本。開源衞士系統從多種來源獲取開源軟件漏洞情報，通過清洗、匹配、關聯等一系列自動化分析處理後，向企業推送開源軟件漏洞情報，讓企業及時獲取到影響其自身安全的最新開源軟件漏洞信息，目前兼容NVD、CNNVD、CNVD等多個漏洞來源。產品能力框架如下圖所示：

圖 奇安信開源衞士產品能力框架

不久前，奇安信決定為信創生態戰略合作伙伴，免費提供開源組件安全檢測服務，服務時間持續至5月30日，很快在信創領域引發了非常好的反響。

分析人士認為，開源衞士率先通過可信開源治理工具評估，標誌着其六大方面能力已達到成熟和穩定可靠的水平，未來將在維護開源生態安全、推動行業健康發展中，承擔起日益重要的角色和作用。