企業動態

防好供應鏈攻擊源頭：奇安信開源衞士

開源軟件的應用非常廣泛，在金融、運營商、電力、航空、汽車等行業客户的信息系統底層架構中，均有開源軟件的影子。據 Gartner 調查報告顯示，99%的組織在其 IT 系統中使用了開源軟件。

作為支撐信息系統的源頭，在實戰攻防演習中，開源軟件極易成為紅隊利用軟件供應鏈攻擊的“源頭” 和突破口。

如何快速盤清開源軟件資產？如何發現開源軟件中的安全風險？如何及時掌握相關的漏洞情報？

為此，奇安信發佈了國內首個成熟的商用開源軟件安全治理產品——奇安信開源衞士系統。

奇安信開源衞士是一款集開源軟件識別與安全管控於一體的軟件成分分析系統，該系統通過智能化數據收集引擎在全球範圍內獲取開源軟件信息及其相關漏洞信息，利用自主研發的開源軟件分析引擎為企業提供開源軟件資產識別、開源軟件安全風險分析、開源軟件漏洞告警及開源軟件安全管理等功能，幫助用户掌握開源軟件資產信息，及時獲取開源軟件漏洞情報， 降低由開源軟件帶來的安全風險，保障企業交付更安全的軟件。

奇安信開源衞士具備四大能力：

開源軟件資產發現功能

奇安信開源衞士通過軟件成分分析，可以識別企業軟件中使用了哪些開源軟件以及開源軟件間的關聯關係，自動生成開源軟件資產信息清單。目前開源衞士能夠識別C、C++、Java、Python、JavaScript、.NET、PHP、Swift/OC、Go/Golang、.Net、Erlang、Scala、Ruby、Perl、R等多種語言開發的4000多萬個開源軟件版本的信息。

開源軟件安全風險分析功能

奇安信開源衞士通過開源軟件信息，能夠匹配對應的漏洞信息，自動生成開源軟件漏洞信息列表，目前開源軟件漏洞情報信息兼容了美國國家通用漏洞數據庫（ NVD ）、國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平台（CNVD）及多個開源社區漏洞信息等數據源。

開源軟件漏洞情報推送功能

奇安信開源衞士通過雲端分析中心在全球範圍內獲取開源軟件漏洞信息，然後經過一系列自動化數據分析處理後，通過郵件、站內信等方式將開源軟件漏洞情報信息及時推送給企業客户。

開源軟件關聯分析功能

開源軟件中的安全漏洞，在影響該開源軟件安全的同時，也會給使用該開源軟件的其他開源軟件帶來安全風險。奇安信開源衞士可以對開源軟件間的關聯關係和相互影響進行分析，幫助企業全面跟蹤溯源開源軟件漏洞可能的影響範圍。

奇安信開源衞士應用場景：

軟件設計階段：可通過奇安信開源衞士開源軟件查驗功能檢索預使用的開源軟件的版本是否存在已知漏洞和協議風險，在技術選型時，及早規避引入有漏洞的開源軟件，從源頭把控開源軟件的風險。

軟件開發階段：軟件開發部門使用奇安信開源衞士與軟件版本管理系統、持續集成系統等開發工具鏈進行集成，針對研發項目進行週期性自動化開源軟件安全掃描，及時發現引入的開源軟件是否存在已知漏洞和協議風險，便於開發人員對有風險的開源軟件進行及時整改。

軟件測試階段：軟件研發（包括自主開發和外包開發）完成後，分析軟件中包含了哪些開源軟件資產，形成開源軟件資產清單，分析開源軟件中是否存在已知安全漏洞和協議風險，評估漏洞危害等級及整改建議。

軟件運行階段：奇安信開源衞士針對上線前形成的開源軟件資產清單，通過雲端安全分析中心持續監控開源軟件漏洞情報信息，當有新的漏洞被發現，系統會通過郵件、站內信等方式通知客户，幫助客户及時獲取到影響自身安全問題的漏洞情報信息，及時採取應對措施。

目前，奇安信開源衞士團隊運營着國內規模最大的“開源項目檢測計劃”，收集了4000多萬個開源項目版本的信息，積累了大量的開源軟件安全基礎數據。奇安信開源衞士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平台（CNVD），能夠滿足行業用户相應的監管要求。同時，當用户使用的開源軟件不能通過升級軟件版本進行漏洞修復時，奇安信開源衞士依託奇安信代碼安全實驗室專業的漏洞研究能力，可以為用户提供開源軟件漏洞危害評級、漏洞補丁分析、漏洞補丁方案等高端漏洞修復諮詢服務。

圖：開源軟件分析結果