摘要: 近期,由中国信息通信研究院、中国通信标准化协会主办的“2022 OSCAR开源先锋日”活动在线上成功举办。会上,中国信通院宣布悬镜安全成为“可信开源合规计划(TWOS-C)”首批正式成员单位(共21家),并发布和解读了多项标准和白皮书,包括悬镜深度参与撰写的《...
近期,由中国信息通信研究院、中国通信标准化协会主办的“2022 OSCAR开源先锋日”活动在线上成功举办。会上,中国信通院宣布悬镜安全成为“可信开源合规计划(TWOS-C)”首批正式成员单位(共21家),并发布和解读了多项标准和白皮书,包括悬镜深度参与撰写的《开源合规指南(企业篇)》以及《开源安全深度观察报告》。
图1 “可信开源合规计划”成员证书
开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展,并且深刻影响着数字产业的发展。开源软件已经成为软件产业创新源泉和“标准件库”,与此同时,开源许可证的兼容性、开源项目的合规、开源安全漏洞和开源知识产权侵权等问题也日趋凸显。
本次活动的举办,是为了支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务,为各行业指明可信开源的康庄大道。
“可信开源合规计划”首批正式成员单位
“可信开源合规计划”是聚焦开源合规的国内开源组织,由中国信通院联合企业用户、科研机构、法律专家筹备成立,旨在凝聚各方力量,聚集一大批国内开源合规人才,整合优质资源,完善开源合规标准体系,输出开源合规建设经验,全面提升我国开源合规水平,为行业的发展提供强劲合力。
图2 “可信开源合规计划”首批成员图
悬镜安全是专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御的产品和服务供应商,旗下自主研发的源鉴OSS开源威胁管控平台,基于多源SCA开源应用安全缺陷检测技术,结合悬镜独有的应用探针技术,精准识别应用开发过程中,软件开发人员有意或违规引用的第三方开源组件,并通过应用组成分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
同时,悬镜秉持“用开源的方式做开源风险治理”这一理念,推出源鉴OSS的开源版本OpenSCA。作为全球首款开源的企业级SCA技术,OpenSCA凭借其领先的开源应用安全缺陷检测等核心能力,已成为开源中国GVP(Gitee最有价值开源项目),并持续为开源生态发展做出贡献。
此次参与可信开源合规计划,悬镜是希望借助于自身在可信开源方面沉淀多年的创新技术与实践经验,与信通院及其他成员单位携手,聚焦可信开源全景,帮助各行业落地切实有效的开源治理工作,推动开源产业合规化,助力中国可信开源生态的构建。
深度参与标准、白皮书的撰写工作
此外,为推动国内开源项目在合规应用、生态建设、产业赋能等领域的发展,由信通院牵头,联合包括悬镜安全在内的多家企业共同编制的两份重量级白皮书《开源合规指南(企业篇)》和《开源安全深度观察报告》在会上正式发布。
图3 《开源合规指南(企业篇)》和《开源安全深度观察报告》
《开源合规指南(企业篇)》分析总结了国内外开源合规发展现状,系统梳理开源合规风险,剖析开源合规事件,通过分享理论知识与优秀实践,提升企业内部开源合规管控能力,为推动我国开源合规建设提供参考。
《开源安全深度观察报告》从开源安全的现状、趋势、市场、技术、实践等多维度出发,对全球和国内开源安全领域进行了全面、深度的剖析,为企业提供了开源安全治理的最佳指南。
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn