華為雲釋出 CodeArts Governance 開源治理服務,開源使用更安心
2023 年 9 月 14 日, 華為雲正式釋出 CodeArts Governance 開源治理服務。這是一款針對軟體研發提供的一站式開源軟體治理服務,將華為在開源治理上的實踐及經驗和能力逐步固化在華為雲服務上,助力企業更加安全、更加高效的使用開源軟體。
開源軟體的使用在當前軟體開發過程中已經成為不可或缺的一部分,根據最近的一項調查報告顯示,全球超過 90%的企業在其軟體開發過程中使用了開源軟體。
雖然企業使用開源軟體在創新共享、靈活定製甚至成本效益等方面擁有優勢,但開源軟體自身安全狀況持續下滑,開源軟體的供應鏈也攻擊不斷。因此,使用開源軟體時,企業需要關注如下三個維度的風險:
合法合規風險
開源軟體的使用可能涉及到法律和合規方面的風險。例如,某些開源許可證可能要求將軟體的原始碼公開發布,而如果企業沒有遵守這些許可證的條款,則會面臨法律糾紛和版權問題。
此外,開源軟體可能依賴於其他開源軟體或專有軟體,如果未獲得適當的許可證或合規性認證,可能會面臨侵權和法律責任。
網路安全風險
由於其開放的特性,開源軟體可能容易受到駭客攻擊和惡意程式碼注入。惡意使用者可以利用開源軟體中的漏洞或弱點來入侵系統、竊取資料或進行其他攻擊行為。
Log4j2 是一個開源的 Java 日誌框架,被廣泛用於 Java 應用程式的日誌記錄和管理。2021 年 12 月 Log4j2 被爆出遠端程式碼執行漏洞,該漏洞被安全專家稱為史“史詩級”漏洞,波及全球 6 萬+開源軟體,影響 70%以上的企業線上業務系統。
供應安全風險
由於開源軟體通常是透過社群合作開發,因此可能存在質量不一致、缺乏有責任感的維護者或過度依賴個別貢獻者的情況。又或是已使用的開源軟體不繼續演進和維護,開源軟體的更新和支援受到限制或延遲,導致軟體在長期使用中出現問題或安全漏洞無法及時修復。
為了應對這些風險,華為雲開源治理服務 CodeArts Governance 將提供全面的解決方案。
此次,華為雲率先推出二級製成分分析特性,透過如下優勢特性,助力企業應對開源風險:
特性 1:無原始碼,無侵入快速檢測
基於二進位制的成分分析,無需使用者提供原始碼,只需上傳產品釋出包或韌體,透過服務的靜態分析及特徵檢測技術,無需構建執行環境或執行程式即可快速分析產品二進位制軟體包中包含的開源軟體及漏洞清單。
特性 2:全面的檢測能力,安全及合規問題全防護
License 合規性檢測:透過評估開源軟體許可證的合規性,服務可以檢測出是否存在使用違反許可證規定的軟體,並幫助企業遵守合規要求,避免潛在的版權侵權和法律糾紛。
開源軟體漏洞掃描:透過服務自動掃描和識別軟體中存在的開源軟體漏洞,並提供詳細的漏洞報告和修復建議,幫助客戶及時修復漏洞,減少被駭客利用的風險;
安全配置及敏感資訊洩露檢測:支援識別製品包中硬編碼密碼、硬編碼金鑰、弱口令、密碼複雜度、證照檔案等 20 餘種場景,保護使用者的敏感資料不被洩露;
惡意程式碼檢測:內建先進的開源軟體惡意程式碼檢測引擎,結合 AI 等相關檢測技術,覆蓋惡意命令執行、反彈 Shell、混淆加密程式碼等十餘種典型的惡意行為,檢測準確率大於 95%,優於同類工具。企業在開源軟體引用前掃描,可幫助企業及時發現開源軟體中的惡意程式碼,避免惡意威脅流入產品軟體;若在版本軟體釋出前掃描,可幫助企業攔截惡意程式碼,避免惡意程式碼流入生產環境,解決企業供應安全風險。
特性 3:多語言,多檔案格式,多架構平臺
華為雲 CodeArts Governance 二進位制的成分分析服務具備超強的相容性,為使用者帶來更高的靈活性、便利性和可擴充套件性。服務支援多種語言編譯構建,在多種作業系統或多種 CPU 架構下生成的二進位制檔案;同時支援 40 多種檔案系統或檔案格式,覆蓋主流軟體應用場景,確保軟體在不同環境中的安全性,減少切換和相容性問題,提高檢測效率。
華為雲 CodeArts Governance 將持續提供更多優秀的實踐能力,如原始碼成分分析、開源後設資料管理、軟體資訊樹等,為使用者提供全量開源軟體資產視覺化管理能力,幫助使用者更輕鬆的進行開源軟體及漏洞管理。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70029137/viewspace-2988297/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 華為雲釋出CodeArts API,為API護航API
- 華為雲釋出CodeArts Check程式碼檢查服務,守護軟體質量和安全
- CodeArts持續發力輸出,華為雲重塑軟體開發
- 使用jitPack釋出android開源庫Android
- 使用Jitpack釋出開源Java庫Java
- 開源| 呼叫ARUICalling開源元元件釋出UI元件
- 華為雲服務治理 | 微服務常見故障模式微服務模式
- 華為雲釋出分散式編譯構建系統CodeArts Build分散式編譯UI
- 華為釋出好望雲服務
- 華為雲服務治理 — 隔離倉的作用
- 開源demo| ARCall 小程式開源示例釋出
- 使用開源ntfy訊息推送服務釋出通知實現全平臺接收通知
- 如何使用華為雲服務一鍵構建部署釋出前端和Node.js服務前端Node.js
- Netflix釋出用於Spring Boot的GraphQL的開源服務框架DGSSpring Boot框架
- Tcloud 雲測平臺-多服務框架開源Cloud框架
- 華為雲釋出CodeArts Req需求管理工具,讓需求管理化繁為簡
- 墨菲安全正式釋出 murphysec 開源專案!讓開發者更安全的使用開原始碼原始碼
- Meta開源Llama 3釋出
- renren開源專案釋出
- [深圳] 華為開源軟體部招聘開源社群專家
- 使用官方開源專案搭建自有Overleaf服務
- openEuler 20.03/21.03 - 華為尤拉開源版(CentOS 8 華為版開源版)下載CentOS
- 開源微服務執行時 Dapr 釋出 1.0 版本微服務
- 服務治理:幾種開源限流演算法庫/應用軟體介紹和使用演算法
- 【開源】合摩 WeexBox 正式釋出
- 唯快不破!華為雲釋出分散式編譯構建系統CodeArts Build分散式編譯UI
- 華為雲開源專案Sermant正式成為CNCF官方專案
- 【Rust】使用開源專案搭建瓦片地圖服務Rust地圖
- 華為雲釋出15大創新服務 攜手夥伴及開發者共創新價值
- 如何為你的開源專案釋出一個版本
- 權威AI開源標準1.0版釋出:Llama也不算開源AI
- 初識華為開源專案 ServiceComb
- 什麼情況!華為開源JDK!JDK
- [開源] .Net 使用 ORM 訪問 華為GaussDB資料庫ORM資料庫
- 【華為雲專家原創】 服務註冊與發現如何滿足服務治理?
- 揭開華為雲CodeArts TestPlan啟發式測試設計神秘面紗!
- 世界著名雲服務SaaS公司的開源替代專案列表
- 華為雲區塊鏈服務全球釋出,加速技術行業落地區塊鏈行業