現在，開源無處不在。開源安全已經成為供應鏈安全中的重要一環，企業需要從流程管理、安全防護等多個方面進行管控，妥善管理開源使用，以確保開源軟件的安全性。

　　新思科技（Synopsys）近日應邀參加 “OSCAR開源先鋒日”大會主題演講，在中國首次公開分享了《2022年開源安全和風險分析》報告（OSSRA）的重點發現，并與業界聚焦開源治理的應用落地和趨勢，進行深度探討。新思科技在開源管理領域擁有豐富經驗，幫助團隊管理在應用和容器中使用開源和第三方代碼所帶來的安全、質量和許可證合規性風險。此次，新思科技也深入參與了該行業大會，包括共同編寫《開源安全深度觀察報告》、《開源合規指南（企業版）》，以及參加最新可信開源治理工具評估。

　　本次大會由中國信息通信研究院（以下簡稱“信通院”）和中國通信標準化協會主辦，云計算標準和開源推進委員會支持，云計算開源產業聯盟（OSCAR）承辦，旨在推動建立中國可信開源生態。

　　新思科技助力發布《開源安全深度觀察報告》和《開源合規指南（企業版）》

　　這兩份報告均由中國信通院牽頭編寫。《開源安全深度觀察報告》梳理了主流的開源安全風險，從開源社區和開源用戶兩個角度提供開源安全的防范建議；《開源合規指南（企業版）》側重研究國內外開源合規發展現狀，通過分享理論知識與優秀實踐，旨在幫助企業提升內部開源合規管控能力。

　　新思科技是兩份報告的參編單位之一，提供了OSSRA報告最新發現，并通過全球視野和豐富企業級最佳實踐，為信通院編寫行業報告提供可靠的數據和洞察，助力信通院協助合作單位安全和高效地使用及管理開源組件，為中國業界樹立應用標桿。

　　2022年OSSRA報告覆蓋物聯網、能源與清潔技術、金融服務和金融科技、教育科技、零售和電子商務、營銷科技等17個行業。研究發現，計算機硬件和半導體、網絡安全、能源與清潔科技、物聯網四個行業的代碼庫中100%包含開源代碼。其余的垂直行業有93%到99%的代碼庫中包含開源代碼。即使比例最低的行業 — 醫療保健、健康科技和生命科學 — 也仍然有高達93%代碼庫包含開源軟件。

　　新思科技中國區軟件應用安全技術總監楊國梁表示：“開源代碼在各行各業的代碼庫中占比很高，而且很大一部分代碼庫容易被利用和攻擊。開源安全現在已經成為全球化挑戰，存在開源安全漏洞、后門植入、供應鏈攻擊、隱私信息泄露等問題。企業需要有方向、持續地提升自身開源安全能力，以安全地使用開源軟件，并更好地應對開源安全威脅。”

　　Black Duck通過最新可信開源評估

　　中國信通院在“OSCAR開源先鋒日”上發布了可信開源治理工具（SCA）評估等最新一批開源評估結果，為中國開源市場的良性發展提供指引。新思科技Black Duck軟件組成分析工具在此次嚴苛的評估中表現優異。

　　可信開源治理工具（SCA）評估內容涵蓋基本能力、技術支持能力、易用性、部署能力、安全性以及兼容性，幫助規范和提升開源治理工具質量，同時適用于采購此類工具的開源用戶，幫助用戶企業采購此類工具作為選型參考。

　　Black Duck軟件組成分析實現以下功能全覆蓋：

　　? 多語言的支持能力

　　? 文件特征值識別、依賴識別、代碼片段識別、加密算法識別、二進制文件識別的支持能力

　　? 掃描結果包括開源組件許可證信息，安全漏洞信息，漏洞修復建議的支持能力

　　? 開源組件新增漏洞預警信息提示

　　? 持續集成，分布式部署，并發掃描，彈性擴容能力

　　? 數據傳輸安全，用戶信息保護，安全監測能力

　　新思科技開源治理專家王永雷表示：“隨著開源供應鏈安全越來越引起企業的重視，開源組件的識別的依賴組件深度成為開源治理非常重要的一個環節。此次，新思科技開啟了10倍深度探測功能，以更加精確地識別依賴組件。這種隱藏在冰山之下的依賴開源組件風險需要希望引起大家的重視。此外，開源合規風險依然嚴重，而且使用過期開源組件版本的情況非常的普遍。這些會引起侵權、系統不穩定、維護成本提高或者易受攻擊的風險增加。現在，開源無處不在，我們需要對其使用進行妥善管理，才能構建可信開源生態。”