随着数字化变革的进程不断深化,软件、应用系统作为构建数字化的必要基础元素,对企业的核心发展至关重要。
据Gartner调查显示,90%的企业或组织在其 IT系统中使用了开源组件。开源软件极大地提高了企业的开发速度,降低了开发成本,成为现代企业开发的主要开发模式。
01 ►
开源软件面临的问题与挑战
开源软件为企业带来便利的同时,也引入了各种风险。主要体现在三个方面:
1.安全漏洞风险
-据NVD数据统计,全球开源软件相关的已知安全漏洞已超过18万个。这意味着企业的开源代码出现风险的概率很高,且一旦出现问题后果将十分严重。
2.知识产权/许可证合规
-开源软件需要在许可证规定的条件下使用,需要遵从知识产权及相关法律限制。如果企业忽略了开源许可要求,可能会带来知识产权合规的风险。
3.技术升级
-开源软件的迭代速度是很快的,很多企业使用陈旧的版本,需要同开源社区的最新版本同步,技术升级过程中的风险也需要综合考虑。
此前,美国征信巨头Equifax,就遭到黑客利用其系统中未修复的Apache Struts漏洞发起攻击,对公司核心信息及声誉造成灾难级影响。除了知名企业曝出的开源隐患事件,其他大大小小的企业遭受开源漏洞的影响更是不计其数。
02 ►
阳光 X CAST开源治理服务
开源漏洞数量多、变化快,企业需要找专业的检测平台进行隐患排查。然而基于国内开源市场的起步阶段,成熟的检测平台少之又少,一般大型企业选用的平台价格又十分昂贵。对于一大批正在冲击数字化转型的中层企业来说,可谓进退两难。
为了促进开源软件的规范化使用,维护开源市场的健康、可持续发展。日前,阳光雨露联合CAST中国推出开源治理服务,旨在助力每一家企业都能安全、放心地使用开源代码,防患于未然。
尽管开源对很多人来说还是新概念,但是阳光雨露在IT服务行业立足20年,我们非常清楚对于IT行业、产品服务行业来说,开源的安全与合规,对于开发自有系统平台来支撑核心业务的运作有多重要。我们在自开发的过程中,也曾使用开源工具,经历过无数的漏洞分析与排查,随时关注开源动态,进行各种各样的安全应急响应。同时也帮助过众多行业客户,通过我们的经验为大家及时、全面地筛查开源漏洞,避免开源风险。
阳光雨露开源检测有哪些特性?为什么能够帮助客户做到深入筛查?我们的核心优势主要聚焦在风险扫描、开源许可、版本迭代三方面:
风险扫描 短平快
传统的代码检测平台,检测的仅仅是公司自有的代码安全,无法彻查开源风险。基于阳光在开源治理领域的丰富经验及技术领先性,我们的开源检测服务能够做到高检出率,查找隐藏的风险。借助自动化检测工具的加持,上百个应用基本上可以在1-2周解决。
在检测过程中,我们能够为您建立企业开源组件的白名单、黑名单。使用数据白名单可帮助寻找已知良好的应用,而黑名单可帮助寻找已知恶意应用及代码。以此帮助您的企业持续管理、完善开发流程。
开源许可 齐盘点
在软件测试阶段纠正缺陷的成本是正式编码阶段的15-90倍,在编码阶段发现并解决大多数开源问题,能够极大降低缺陷管理的成本。
我们拥有全球最大开源代码索引资源,通过对超过50亿个已知源代码项目文件的检索,更快速、准确地识别第三方源代码。在企业使用开源组件前,阳光就能从源头杜绝相关代码的许可证及已知漏洞,避免企业用后追悔莫及。
版本迭代 常更新
出于功能和安全方面的原因,第三方开源组件必须始终保持更新。为此,阳光能够为您检测哪些应用程序使用了过时组件版本,以便及时升级,以防企业遇到问题后再耗费大量人力、成本去维护。
面向不同企业的需求,我们提供开源检测服务的方式也有所不同:可以是按次的扫描服务(出具报告)也可以是直接出售扫描工具(软件平台),确保每一家企业都适用。
除了针对开源风险做出的基础性检测服务,阳光还能够为您的软件数字化提供关键性洞察力,提供涵盖软件健康检测、私有数据检测、云障碍清理等服务。助力您的企业能够更加安心地开展核心业务。
当前,开源治理在国内虽然还处于起步阶段,但其安全程度对于企业的发展至关重要。在国家十四五规划中,开源产业已经受到国家的高度重视。相信在政府的引导与支持下,开源管理的行业标准会越来越规范。
阳光开源检测平台,也将紧跟国家指引,凭借自身丰富的经验以及行业前沿的技术能力,为开源市场安全、稳定的环境贡献一份力量。我们希望能够帮助您的企业,更安全、低成本地进行软件开发,提高系统性能,加速数字化转型进程。