上海2022年6月6日 /美(mei)通社/ -- 近日,上海安(an)(an)(an)勢(shi)信(xin)(xin)息技術有(you)限(xian)公司(下稱安(an)(an)(an)勢(shi)信(xin)(xin)息)對(dui)外宣布正(zheng)式(shi)成為DevSecOps領域中國首(shou)家OpenChain項目會員。安(an)(an)(an)勢(shi)�����信(xin)(xin)息將同高通、谷歌、微軟(ruan)等其他全球企業(ye)共建可(ke)信(xin)�����(xin)、安(an)(an)(an)全的(de)軟(ruan)件(jian)供應鏈,共同維護開源許(xu)可(ke)證合規(gui)領域的(de)國際標準OpenChain ISO/IEC 5230。作為中國市場領先的(de)軟(ruan)件(jian)供應鏈安(an)(an)(an)全治理(li)工(gong)具提供商,安(an)(an)(an)勢(shi)信(xin)(xin)息的(de)加入標志著市場在自主(zhu)選擇安(an)(an)(an)全、許(xu)可(ke)證合規(gui)的(de)工(gong)具等方面(mian)又邁出了重要一(yi)步。
OpenChain項目是(shi)由Li�������nux基金(jin)會發(fa)起的一項旨在(zai)制(zhi)定(ding)開(kai)源軟件供(gong)應鏈(lian)標準,幫助全球企(qi)業更高效地解決開(kai)源許(xu)可證(zheng)一致性的問�������題。
安(an)勢(sh�����i)信(xin)(xin)息(xi)創(chuang)始人(ren)兼總裁薛植元表示:"我們(men)很高(gao)興在開(kai)源(yuan)(yuan)生態領域與全(quan)球其他成員一(yi)起加(jia)入OpenChain。從2016年開(kai)始,OpenChain一(yi)直致力(li)于為市場上不(bu)同規(gui)模的企業(ye)提(ti)供(gong)(gong)可信(xin)(xin)�������賴與合規(gui)一(yi)致的開(kai)源(yuan)(yuan)供(gong)(gong)應鏈(lian)。安(an)勢(shi)信(xin)(xin)息(xi)將(jiang)攜手OpenChain,在工(gong)具、培訓、研究、最佳(jia)實踐和(he)咨詢方面,為開(kai)源(yuan)(yuan)社區(qu)做出持續貢獻。開(kai)源(yuan)(yuan)社區(qu)和(he)OpenChain的協作基因也(ye)將(jiang)有助于我們(men)協調和(he)利用業(ye)內(nei)最佳(jia)資源(yuan)(yuan)。我們(men)相(xiang)信(xin)(xin),這樣的緊(jin)密合作將(jiang)會(hui)讓軟件供(gong)(gong)應鏈(lian)變得(de)更加(jia)安(an)全(quan)和(he)可靠。"
�����在混源開發(fa)不可避免的同時,一(yi)系列的安全和合規風險也(ye)伴隨著(zhu)整個軟(ruan)件開發(fa)生命周(zhou)期,并(bing)影響著(zhu)整個軟(ruan)件供應鏈。安勢信(xin)息以行(xing)業領先的SCA產品作(zuo)(zuo)為切入點,圍(wei)繞DevSecOps流(liu)程,從工具(ju)到流(liu)程再到組(zu)織,堅持持續創新,打造獨(du)具(ju)特色的端(duan)到端(duan)最佳實踐。經過團隊成員(yuan)多年的持續積累,安勢信(xin)息目前已與(yu)多家(jia)高科技頭(tou)部企業建立了(le)深厚的合作(zuo)(zuo)關系。
&q������uot;就人口而(er)言,中國(guo)是世界上最大的單一(yi)市(shi)場,也是全球供應(ying)鏈中最重要(yao)的一(yi)部分,"OpenChain的總經理�����Shane Coughlan說到:"安勢信息代表了圍繞開(kai)源(yuan)的本(ben)土企業領(ling)先實(shi)力的發展。與(yu)產品(pin)交付(fu)能力緊密(mi)相關(guan)的是,產品(pin)的支(zhi)持與(yu)服務流程需要(yao)不斷改善。在(zai)(zai)這(zhe)個十年的開(kai)端,SCA一(yi)直(zhi)是開(kai)源(yuan)供應(ying)鏈中重要(yao)的組成部分,在(zai)(zai)未來幾年里,它仍將是至關(guan)重要(yao)的。"
在隨后(hou)OpenChain組織(z�������hi)召開的(de)第42期線上研討會(hui)上,上海(hai)安(an)(an)勢信(xin)息技術(shu)有(you)限公(gong)司(si)(下稱安(an)(an)勢信(xin)息)的(de)技術(shu)市場總監王峰受邀出席并發表名為《SCA廠商在中國市場面臨的(de)機遇與挑戰》的(de)全英(ying)文主題演講。
王(wang)峰發(fa)表名(ming)為《SCA廠商在中國市(shi)場面臨的機遇與挑戰(zhan)�������》的全英(ying)文(wen)主題演講
王(wang)峰(feng)擁有威斯康星大學(xue)麥迪遜分校電子工(gong)程(cheng)學(xue)士(shi)、賓夕法尼亞大學(xue)電子工(gong)程(cheng)碩士(shi)學(xue)位(wei),曾(ceng)擔任美國(guo)有線(xian)電視(shi)運(yun)營商Comcast高級軟件(jian)工(gong)程(cheng)師,負責網絡自動化軟件(jian)開發等工(gong)作,作為企業(ye)內(nei)部開源貢獻者(Innersource Contributor)將項(xiang)目和(he)軟件(jian)在(zai)企業(ye)內(nei)部進行分享使(shi)用。他在(zai)美國(guo)工(gong)作學(xue)習11年,在(zai)感受(shou)到開源軟件(jian)在(zai)中國(guo)市(shi�������)場的蓬勃發�������展后,王(wang)峰(feng)選(xuan)擇回(hui)國(guo)并加入安勢信息(xi)。
正如(ru)王(wang)峰在《SCA廠商在中國������市場面臨(lin)的機遇與(yu)挑戰》主題演講中提到的,開(kai)源(yuan)軟件在中國市場經歷了由萌芽(ya)到蓬勃發展的階(jie)段(duan������)。
開源軟件在中國的緣起、落地及發展
中國(guo)(guo)的(de)開源(yuan)(yuan)軟件產業相(xiang)較于歐美發達(da)國(guo)(guo)家而(er)言起步相(xiang)對(dui)較晚,大致經(jing)歷了從萌芽(ya)、云計算&人工(gong)智能加速落地和高速發展的(de)三(san)個階段。目前,中國(guo)(guo)已經(jing)逐步建立了相(xiang)對(dui)成熟的(de)開源(yuan)(yu������an)生態系統。
在中國(guo)的開�����源生(sheng)態領域,由云計算、科技企業孵(fu)化、創辦的開源企業/項目(mu)和由開發者(zhe)社區(qu)、代碼托管平臺、開源基金會�����(hui)、開源聯盟共(gong)同構成了開源軟件市場的參與主體。
中(zhong)(zhong)國企業(ye)在積極參與(yu)全(quan)(quan)球開(kai)源生態建設的(de)過程中(zhong)(zhong),影響力與(yu)日俱(ju)增(zeng)。截止目前GitHub有755萬名中(zhong)(zhong)國開(kai)發者(zhe)(zhe),人數位居全(quan)(quan)球第二;更多的(de)中(zhong)(zhong)國企業(ye)進(jin)入全(quan)(quan)球開(kai)源領����(ling)域行業(ye)的(de)前列;中(zhong)(zhong)國正(zheng)成為全(quan)(quan)球開(kai)發者(zhe)(zhe)社區中(zhong)(zhong)不可忽視(shi)的(de)重要力量。
此(ci)外(wai),在這一時期,中國本土創辦了很多的(de)(de)開源(yuan)組(zu)織(zhi)和社區(qu),企業積極(ji)捐獻開源(yuan)項目,相(xiang)關開源(yuan)基金會的(de)(de)成(cheng����)立,共同推動中國開源(yuan)產業發展壯大。安(an)勢信息此(ci)次�����(ci)加(jia)入OpenChain,很榮(rong)幸能與中國信通院(yuan)、華(hua)為和OPPO等(deng)伙伴共建可(ke)信、安(an)全的(de)(de)軟件供應鏈。
開源產業同樣(yang)引(yin)起了國家層面的(de)高(gao)度(du)重(zhong)視(shi)。政府將(jiang)開源明(ming)確(q�����ue)(que)列入"十(shi)四五"規(gui)劃中,并(bing)從法律層面明(ming)確(que)(que)加強對(dui)知識產權的(de)保護。一(yi)些因違反開�����源許(xu)可證使用協(xie)議( 例如: GPL 3.0 ) 引(yin)發的(de)版權糾紛案也引(yin)起了企業對(dui)開源許(xu)可證合規(gui)的(de)重(zhong)視(shi)。
國(guo)內的開(kai)源(yuan)(yuan)生態發(fa)展經(jing)歷了一個從(cong)無都有,再(z������ai)到蓬勃發(fa)展過程,對(dui)全(quan)球開(kai)源(yua�������n)(yuan)的貢獻和影(ying)響(xiang)力也會越來越大。
SCA的發展 挑戰與機遇并存
Apache Log4j漏洞事(shi)件的(de)(de)爆發(fa),讓開源軟件供(gong)應鏈安(an)全的(de)(de)������話題熱�������度持(chi)(chi)續(xu)走高(gao)的(de)(de)同時,也為網絡安(an)全市場吹來了新的(de)(de)風(feng)向。隨著開源風(feng)險的(de)(de)持(chi)(chi)續(xu)擴大,SCA(Software Composition Analysis,軟件成分(fen)分(fen)析)正在得到(dao)更廣泛(fan)的(de)(de)應用。
為了在SCA產品(pin)需求爆發式�������增(zeng)長(chang)��������的市場中搶占高地,應用安全賽道(dao)涌現了一大批新(xin)(xin)的SCA廠商。據(ju)統計,中國SCA初創(chuang)公司的數(shu)量(liang)較去年增(zeng)長(chang)了1倍,資本也紛(fen)紛(fen)入局(ju),開源領域(yu)的融(rong)資案例數(shu)量(liang)和(he)資金總額不斷創(chuang)新(xin)(xin)高。
放眼全球,當前國內企(qi)業在軟(rua�������n)件安(an)(an)全方面的(de)資(zi)金(jin)投(tou)入(ru)僅占(zhan)全球企(qi)業軟(ruan)件安(an)(an)全平均投(tou)入(ru)金(jin)額(e)的(de)三分之一,中(zhong)國網絡安(an)(an)全市場的(de)空間(jian)巨大。
隨后,王峰分(fen)別(bie)從政治、經(jing)濟(ji)、文(wen)化和(he)技術四個角度分(fen)別(bie)闡釋了SCA廠商當前面臨的(de)機(ji)遇(yu)(yu)和(he)挑(tiao)戰。機(ji)遇(yu)(yu)來自于(yu)在(zai)國家(jia)產(chan)業(ye)轉型(xing)升級的(de)大(da)環境下,政府對開源產(chan)業(ye)高(gao)度重視,相(�����xiang)關(guan)政策(ce)和(he)知識產(chan)權法律(lv)保護水平都有(you)了顯著提升。
關(guan)于(yu)SCA廠商面(mian)臨的(de)挑(tiao)戰,王峰分別列舉(ju)了本土SCA廠商和海外(wai)SCA廠商亟需解決(jue)的(de)問題(ti)并展(zhan)開(kai)說明。中國開(kai)源軟件產業(ye)起步相對(dui)較晚,相關(guan)專業(ye)技術人才相對(dui)匱乏;另一方面(mian),企業(ye)對(dui)開(kai�������)源合規的(de)重要性認識還不夠;很多廠商提供的(de)SCA工具(ju)(ju)往往更多的(de)是基于(yu)安全而非合規,對(dui)于(yu)提供成熟(shu)的(de)開(kai)源合規治理工具(ju)(ju)方面(mian)仍有很多經(jing)驗需要積(ji)累
海外(wai)SCA廠(chang)商(shang)在進入中國市場時也同(tong)樣面(mian)臨挑戰。例如:對本地支持(chi)較弱,不能提(ti)供二次開發服務,缺少靈(ling)活性(xing);而隨著(zhu)SaaS技(ji)術的(de)(de)發展,海外(wai)SCA供應商(shang)也在逐漸減少對本地化(hua)部(bu)署(s����hu)的(de)(de)支持(chi),不能滿(man)足部(bu)分有本地化(hua)部(bu)署(shu)需求的(de)(de)用(yong)戶(hu)(hu);或因(yin)為(wei)一些(xie)其(qi)他因(yin)素對國內(nei)客戶(hu)(hu)斷供,無法為(wei)國內(�����nei)企業提(ti)供持(chi)續可靠的(de)(de)支持(chi)。
以上的(de)外部因素和內部因素共(gong)同構成了中(zhon�������g)國SCA廠商面臨的(de)機遇與挑戰。
擁抱開源,攜手OpenChain共建開源生態
作為中國(guo)(guo)市場領先的(de)(de)(de)軟(ruan)件供應鏈(lian)安全治理工具提供商,安勢(shi)信(xin)息(xi)加入OpenChain組(zu)織,將(jiang)極大(da)地促進開源許(xu)可證合(he)規(gui)領域的(de)(de)(de)國(guo)(guo)際標準OpenCh��������ain ISO/IEC 5230在中國(guo)(guo)市場的(de)(de)(de)推(tui)廣,并幫助其在企業(ye)落(luo)地實施。
同(tong)時,作(zuo)為OpenChain的(de)一員,安勢(shi)信息將(jiang)持續對市(shi)場輸出建(jian)立安全(quan)、可靠軟件(jian�������)供應鏈的(de)重要性的(de)理念(nian),不斷(duan)提(ti)高市(shi)場對SCA工(gong)具和開�����源合規的(de)重要性的(de)認識(shi)。
安勢信息(xi)在高(gao)速發展的(de)同時,一(yi)直高(gao)度重視(shi)與開源(yuan)生態各領域的(de)協作。公司近(jin)期也加入了OpenSSF (開源(yuan)軟(ruan)件安全(quan)(quan)基金會),有幸(xing)成為國內第一(yi)家加入該基金會的(de)SCA廠商。并(bing)放眼(yan)全(qu�������an)(quan)球,與全(quan)(quan)球領先(xian)的(de)國際開源(yuan)組織和微軟(ruan)、谷(gu)歌、華為等伙伴(ban)一(yi)起攜手共建安全(quan)(quan)可靠的(de)開源(yuan)軟(ruan)件供應鏈。
以技(ji)術(shu)為導(dao)向,以客戶(hu)為中心。安勢(shi)信息(xi)始終相(xiang)信市場和(he)客戶(hu)才是我們保持(chi)(chi)創(chuang)新性(xing)和(he)先進(jin)性(xing)的源(yuan)泉(quan)和(he)基石。"正本清源(yuan),不止(zhi)于(yu)安全",安勢(shi)信息(xi)將堅持(chi)(chi)在軟件供應鏈風險治(zhi)理上持(chi)(chi)續(xu)發力,不斷(duan)完善產品和(he)最(zui)佳實踐。未來,安勢(shi)信息�������(xi)將攜手OpenChain,持(chi)(chi)續(xu)提升市場和(he)企業對SCA關注(zhu)和(he)投入,更加緊密地擁抱開源(yuan)。
