年終特聞：全球首款企業級OpenSCA技術開源釋出會在京圓滿召開

12月30日，由懸鏡安全、OpenSCA聯合主辦的全球首款企業級OpenSCA技術開源釋出會在北京泰富酒店如期舉行，以“線上聯動+線下互動”的模式同步進行。中國資訊通訊研究院、中國網路安全產業聯盟、國家資訊科技安全研究中心、騰訊安全科恩實驗室、百度工程效能部效率雲、東方通集團、中興通訊、樂信集團、北京賽博英傑科技有限公司、國浩律師（北京）事務所等組織機構的專家、學者、行業領袖等齊聚現場，共同見證企業級開源治理解決方案「懸鏡源鑑OSS開源威脅管控平臺」正式官宣開源化。

釋出會現場高潮不斷，精彩紛呈，針對“開源軟體”、“供應鏈安全”等熱點帶來不同角度的學術探討與實踐分享，共同展望開源產業生態下的安全新態勢。

技術驅動下的安全新態勢

近年來，隨著雲端計算、AI、IOT等技術的不斷髮展，IT等資訊科技領域也有了新的突破，可以更好的賦能關鍵資訊基礎設施建設。然而，安全作為主旋律，一直是備受關注的焦點。一方面，傳統安全防護措施的缺失，對於新型高階威脅缺少防護壁壘；另一方面，開源趨勢下，事後防禦的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護、開源安全的風險治理是需要大家積極探討的新命題。

開源安全探索與創新實踐

在本次大會上，懸鏡安全創始人兼CEO子芽以《用開源的方式做開源風險治理》為主題，圍繞“開源”、“風險治理”、“OpenSCA”等關鍵詞做了精彩分享。子芽表示，應用開源是大勢所趨，但是避免不了Web通用漏洞、業務邏輯漏洞、開源成分的缺陷及後門等漏洞問題，而用開源的方式做開源風險治理，可以讓開源用多樣性擁抱不確定性，形成開源新正規化。

此次，懸鏡安全對外發布OpenSCA開源技術，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業級SCA產品源鑑OSS開源威脅管控平臺的開源版本，它繼承了源鑑OSS的多源SCA開源應用安全缺陷檢測核心能力。

而且，子芽認為，創新的過程也是價值迭代創造的過程，更有利於擴充人類認知實踐的邊界。而且希望用開源的方式做開源風險治理，和大家一起，守護中國軟體供應鏈安全！

圖1 懸鏡安全創始人兼CEO子芽分享

中興通訊開源合規&安全治理總監項曙明以《構建開源可信供應鏈實踐分享》為主題進行了分享，開源標準體系的不斷落地，行業應用的不斷實踐以及客戶需求的逐漸成熟與清晰，我們不得不意識到開源安全治理能力成為企業必選，逐漸成為了企業進入市場的准入門檻。企業應根據所處行業特點、企業經營模式和特點，結合外部環境及要求，進行企業開源風險場景分析，制定適合企業長期發展的開源風險治理策略，以更加開放的商業姿態擁抱開源。

圖2  中興通訊開源合規&安全治理總監項曙明分享

國浩律所（北京）事務所合夥人胡靜以《開源軟體出口管制合規探討》為主題探討了什麼是美國出口管制、美國出口管制與開源軟體的關係、出口管制下的開源軟體合規思路，解析軟體管理中的長轄管理規則，助於我們建立開源軟體管理的全球視野與國際化合規認知。

圖3  國浩律師事務所合夥人胡靜分享

騰訊安全科恩實驗室DevSecOps技術專家趙洪陽分享了《以二進位制SCA為核心的製品掃描》，他指出，製品掃描是重要的質量關卡，同時也是運營、開發過程重要的安全資訊來源，而製品中也面臨著License商業風險、開源元件、linux核心漏洞風險、敏感資訊洩露、系統安全基線等安全問題，而以二進位制SCA為核心，檢測安全風險，可以保障檢出率。主要從5個方面入手：

1. 二進位制檔案收集及格式解析

2. 檢測技術的選擇

3. 開源元件特徵庫維護

4. Kernel核心漏洞檢測

5. 嵌入式系統安全檢查

圖4  騰訊安全科恩實驗室DevSecOps技術專家趙洪陽分享

樂信集團資訊保安總監劉志誠以《生態閉環治理開源供應鏈安全》為主題做了精彩分享，他提出在開源軟體的生命週期管理中，應該做好引入前、引入後、事件響應三個階段的準備工作，做好安全風險的評估與治理，應急演練，風險轉移工作，避免技術（漏洞驗證、漏洞分析、緩解措施、程式碼修復）、資源（可持續性評估、應急響應、風險轉移）帶來的安全難題，共建保險、共享、社群的安全新生態，形成安全閉環。

圖5 樂信集團資訊保安總監劉志誠分享

中國資訊通訊研究院雲大所云計算部副主任郭雪以《開源風險現狀分析與SCA標準解讀》對開源、開源組成要素、發展歷程、產業發展等方向做了解讀，資料顯示，全球開源專案數量和我國開源專案數量都呈現了較大的增長，然而也面臨著技術與運維、管理風險等可以預見但是無法規避的困難與挑戰，針對這一現象國家不斷推出了開源相關政策，大力認可開源帶來的生態價值和產業價值。最後，郭主任系統解讀了信通院依據開源生命週期建立的可信開源標準體系，幫助大家對開源的有序發展及體系化、標準化運營建立了更加清晰的框架性認知。

圖6 中國資訊通訊研究院雲大所云計算部副主任郭雪分享

用開源的方式做風險安全治理

   當前，開源已覆蓋軟體開發的全域場景，正在構建新的軟體技術創新體系，引領新一代資訊科技創新發展。據不完全統計，全球97%的軟體開發者和99%的企業使用開源軟體，基礎軟體、工業軟體、新興平臺軟體大多基於開源，開源軟體已經成為軟體產業創新源泉和“標準件庫”。與此同時，開源許可證的相容性問題、開源專案的合規問題、開源安全漏洞問題和開源智慧財產權的侵權等問題也日趨凸顯。

   任何問題的出現，總要找到相應的解決方案！懸鏡安全數十位來自北大的科研人員、行業專家智庫，歷時26280個小時潛心打磨，提出了“用開源的方式做開源風險治理”，希望用簡單的配置即可完成對開源元件所使用的成分進行檢測，深度挖掘元件中潛藏的各類安全漏洞及開源協議風險，助力企業進行開源風險的識別及治理。

未來，懸鏡安全將依託軟體供應鏈安全技術，佈局開源安全產業生態，以前瞻性產業視角視角構築行業安全生產線，不斷擴充人類認知實踐的邊界，在更大的範圍幫助更多的企業實現開源風險治理，助力開源生態健康有序發展。

如何參與OpenSCA開源專案

一、OpenSCA官網：

https://opensca.xmirror.cn/

二、OpenSCA開源專案地址

1. 本地檢測工具

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli

2. IDEA外掛

GitHub：https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin

Gitee：https://gitee.com/XmirrorSecurity/OpenSCA-intellij-plugin      

掃描二維碼，瞭解OpenSCA更多資訊