乐趣区

关于开源软件:安势清源-SCA-助力超大规模高科技企业加速开源风险治理

近日,上海安势信息技术有限公司的清源 SCA 工具在腾讯胜利部署。

开源软件在促成寰球的技术创新方面施展着越来越重要的作用,企业越来越依赖开源软件来减速开发与翻新。据 Gartner 的调查报告,现在超过 90% 的企业在其重要的 IT 零碎中应用了开源软件。不过正如 2021 年底暴发的 Log4j 事件对整个软件供应链造成的影响,开源平安问题依然充斥挑战。通过 SCA (Software Composition Analysis, 软件组成剖析) 工具,可帮忙企业构建精确的 SBOM (Software bill of materials, 软件物料清单),提供清晰的软件成分可视性剖析,升高和治理利用或容器中因应用开源软件和其余第三方代码(软件)引入的平安、品质与许可证合规性危险。

在软件开发过程中,企业将不可避免的间接或间接引入开源软件。如在开发阶段由开发人员引入的代码片段,通过 Maven 等罕用的包管理器引入的依赖等,正是因为开源软件可能通过多种不同模式引入代码库,这就要求 SCA 工具必须具备不同的探测技术来精确辨认在各种场景下引入代码库中的开源软件。在这一点上,清源 SCA 充沛笼罩所有的引入场景:

1、多维度的探测技术

清源 SCA 可进行代码片段辨认、文件辨认、组件辨认、依赖辨认和容器镜像扫描。通过多种行业当先的算法打造出平安、合规、高效、易用的软件成分剖析零碎,为企业梳理研发过程中的软件物料清单,提供弱小的技术支持。

SCA 工具的挑战之一是如何残缺、精确的辨认出产品中所引入的开源组件,除了多维度的探测技术和匹配算法外,同时必须有一个弱小的数据库,在此基础上,关联组件版本的许可证、破绽、加密算法等其余特色数据。

2、弱小的数据库

清源 SCA 领有海量数据储备,其中蕴含 24 万破绽数据、1 亿 7 千万的组件信息、3 万亿行开源代码、2,000 多种许可证类型、1000 亿文件特色信息等,检测范畴笼罩各大开源组件仓库。

清源 SCA 宏大的数据库为精确辨认开源组件提供弱小的撑持,保障组件辨认的完整性。同时,清源 SCA 的专家团队一直优化数据库匹配算法的效率和性能,保障继续更新和积攒。

随着近年 DevOps 的利用与倒退,SCA 工具作为工具链当中的一环,集成与接入能力显得尤为重要;其次,作为一款成熟的企业级的 SCA 工具,必须通过大型企业的落地实际测验,产品性能须要满足大型企业的高标准的要求,工具绝不能成为影响研发效率的卡点。通常大型企业的业务场景、组织架构比较复杂,所以一款企业级 SCA 工具必须具备负载平衡等灵便的形式来满足企业简单的需要场景。

3、企业级的解决方案

清源 SCA 作为一款已在大型互联网企业落地实际的 SCA 工具,具备以下特点:

● 平安与合规并重

● 高并发

● 可扩展性

● 数据隔离

● 反对大型项目(>5GB、多语言)扫描

清源 SCA 凭借突出的产品性能,可通过负载平衡等形式满足高并发的需要。同时具备极强的可扩展性、可满足数据隔离,来达到资源的正当调配和最大化利用。

为满足企业的数据安全合规需要,清源 SCA 同时反对公有云和私有云部署。作为一款软件成分剖析的工具,在提供本地部署的同时兼顾数据库疾速、高效更新。

4、灵便的部署和更新

清源 SCA 引擎和 KB 库均反对本地部署,反对扫描、代码比对等全副离线扫描剖析能力,扫描过程无需连贯外网;并且代码进行不可逆加密后辨认,无代码泄露危险。KB 库反对增量更新,多种形式满足客户在不影响业务的前提下疾速、高效的实现更新。

多维度的探测技术、弱小的数据库、企业级的解决方案以及灵便的部署和更新形式形成了清源 SCA 的弱小产品劣势,同时,此次在腾讯的胜利部署,体现了安势信息对大型企业弱小的技术支持能力。

作为开源畛域的“资深玩家”,腾讯很早就开始接触和应用 SCA 工具来推动外部开源平安和合规治理。面对规模愈趋宏大、简单的开源组件,一款兼具扫描精确与高性能的企业级 SCA 工具显得尤为重要。清源 SCA 工具,通过多轮 PoC 测试,从泛滥国内外竞品中怀才不遇,满足了腾讯对 SCA 工具的高标准要求:扫描速度快、扫描后果精确、及合规性扫描能力、知识库全面,达到晋升外部平安与合规管控的目标。

随着国家数字化转型一直减速和开源产业的继续倒退,多项公布的政策把开源回升到国家政策层面,必定了开源模式对信息技术翻新和软件产业倒退的重要性。同时,频繁的开源软件安全漏洞使开源软件的平安与合规危险受到空前器重,咱们非常必定 SCA 软件成分剖析技术将失去更加宽泛的利用。将来,安势信息会持续加大对产品研发的投入,一直进行技术创新,助力晋升中国软件供应链平安。

关键词:
软件成分剖析;SCA;清源 SCA;开源平安和合规;开源危险;代码片段辨认;SBOM;软件物料清单;腾讯;腾讯开源治理;安势信息;软件供应链平安;开源危险治理

对于安势信息

上海安势信息技术有限公司成立于 2021 年,致力于解决软件供应链中的平安和合规问题,目前已实现数千万元天使轮融资。作为中国市场当先的软件供应链平安治理工具提供商,安势信息以 SCA(软件成分剖析)产品作为切入点,围绕 DevSecOps 流程,着力于从工具到流程再到组织,保持继续翻新,打造独具特色的端到端开源治理最佳实际。欢送拜访安势信息官网 www.sectrend.com.cn 或发送邮件至 [email protected] 垂询。

退出移动版