華為雲釋出 CodeArts Governance 開源治理服務，開源使用更安心

2023 年 9 月 14 日， 華為雲正式釋出 CodeArts Governance 開源治理服務。這是一款針對軟體研發提供的一站式開源軟體治理服務，將華為在開源治理上的實踐及經驗和能力逐步固化在華為雲服務上，助力企業更加安全、更加高效的使用開源軟體。

開源軟體的使用在當前軟體開發過程中已經成為不可或缺的一部分，根據最近的一項調查報告顯示，全球超過 90%的企業在其軟體開發過程中使用了開源軟體。

雖然企業使用開源軟體在創新共享、靈活定製甚至成本效益等方面擁有優勢，但開源軟體自身安全狀況持續下滑，開源軟體的供應鏈也攻擊不斷。因此，使用開源軟體時，企業需要關注如下三個維度的風險：

合法合規風險

開源軟體的使用可能涉及到法律和合規方面的風險。例如，某些開源許可證可能要求將軟體的原始碼公開發布，而如果企業沒有遵守這些許可證的條款，則會面臨法律糾紛和版權問題。

此外，開源軟體可能依賴於其他開源軟體或專有軟體，如果未獲得適當的許可證或合規性認證，可能會面臨侵權和法律責任。

網路安全風險

由於其開放的特性，開源軟體可能容易受到駭客攻擊和惡意程式碼注入。惡意使用者可以利用開源軟體中的漏洞或弱點來入侵系統、竊取資料或進行其他攻擊行為。

Log4j2 是一個開源的 Java 日誌框架，被廣泛用於 Java 應用程式的日誌記錄和管理。2021 年 12 月 Log4j2 被爆出遠端程式碼執行漏洞，該漏洞被安全專家稱為史“史詩級”漏洞，波及全球 6 萬+開源軟體，影響 70%以上的企業線上業務系統。

供應安全風險

由於開源軟體通常是透過社群合作開發，因此可能存在質量不一致、缺乏有責任感的維護者或過度依賴個別貢獻者的情況。又或是已使用的開源軟體不繼續演進和維護，開源軟體的更新和支援受到限制或延遲，導致軟體在長期使用中出現問題或安全漏洞無法及時修復。

為了應對這些風險，華為雲開源治理服務 CodeArts Governance 將提供全面的解決方案。

此次，華為雲率先推出二級製成分分析特性，透過如下優勢特性，助力企業應對開源風險：

特性 1：無原始碼，無侵入快速檢測

基於二進位制的成分分析，無需使用者提供原始碼，只需上傳產品釋出包或韌體，透過服務的靜態分析及特徵檢測技術，無需構建執行環境或執行程式即可快速分析產品二進位制軟體包中包含的開源軟體及漏洞清單。

特性 2：全面的檢測能力，安全及合規問題全防護

License 合規性檢測：透過評估開源軟體許可證的合規性，服務可以檢測出是否存在使用違反許可證規定的軟體，並幫助企業遵守合規要求，避免潛在的版權侵權和法律糾紛。

開源軟體漏洞掃描：透過服務自動掃描和識別軟體中存在的開源軟體漏洞，並提供詳細的漏洞報告和修復建議，幫助客戶及時修復漏洞，減少被駭客利用的風險；

安全配置及敏感資訊洩露檢測：支援識別製品包中硬編碼密碼、硬編碼金鑰、弱口令、密碼複雜度、證照檔案等 20 餘種場景，保護使用者的敏感資料不被洩露；

惡意程式碼檢測：內建先進的開源軟體惡意程式碼檢測引擎，結合 AI 等相關檢測技術，覆蓋惡意命令執行、反彈 Shell、混淆加密程式碼等十餘種典型的惡意行為，檢測準確率大於 95%，優於同類工具。企業在開源軟體引用前掃描，可幫助企業及時發現開源軟體中的惡意程式碼，避免惡意威脅流入產品軟體；若在版本軟體釋出前掃描，可幫助企業攔截惡意程式碼，避免惡意程式碼流入生產環境，解決企業供應安全風險。

特性 3：多語言，多檔案格式，多架構平臺

華為雲 CodeArts Governance 二進位制的成分分析服務具備超強的相容性，為使用者帶來更高的靈活性、便利性和可擴充套件性。服務支援多種語言編譯構建，在多種作業系統或多種 CPU 架構下生成的二進位制檔案；同時支援 40 多種檔案系統或檔案格式，覆蓋主流軟體應用場景，確保軟體在不同環境中的安全性，減少切換和相容性問題，提高檢測效率。

華為雲 CodeArts Governance 將持續提供更多優秀的實踐能力，如原始碼成分分析、開源後設資料管理、軟體資訊樹等，為使用者提供全量開源軟體資產視覺化管理能力，幫助使用者更輕鬆的進行開源軟體及漏洞管理。