上海(hai)2022年10月14日(ri) /美(mei)通社/ -- 近(jin)日,上�����海安勢信息技術有(you)限(xian)公司的清源SCA工具(ju)在騰訊(xun)成功部署。
開源軟件在促進全球的技術創新方面發揮著越來越重要的作用,企業越來越依賴開源軟件來加速開發與創新,根據 Gartner 的調查報告,如今超過 90% 的企業在其重要的 IT 系統中使用了開源軟件。不過正如2021年底爆發的Log4j事件對整個軟件供應鏈造成的影響,開源安全問題仍然充滿挑戰。通過SCA (Software Composition Analysis, 軟件(jian)(jian)成分分��������析(xi)) 工(gong)具(ju),可幫助企業(ye)構建(jian)準(zhun)確的(de) SBOM (Software bill of materials, 軟件(jian)(jian)物料清(qing)單),提供清(qing)晰的(de)軟件(jian)(jian)成分可視性分析(xi),降低和(he)管理應用或容器中因(yin)使用開源(yuan)軟件(jian)(jian)和(he)其他(ta)第三������方代碼(軟件(jian)(jian))引(yin)入的(de)安全、質量(liang)與許(xu)可證合規性風險。
在軟(ruan)件(jian)開(kai)發(fa)過程中,企業將不(bu)可(ke)避免的(de)(de)直接或間(jian)接引(yin)入(ru)(ru)開(kai)源軟(ruan)件(jian)。如在開(kai)發(�������fa)階段由開(kai)發(fa)人員(yuan)引(yin)入(ru)(ru)的(de)(de)代碼(ma)片段,通過Maven等常(chang)用的(de)(de)包管理器引(yin)入(ru)(ru)的(de)(de)依賴(lai)等,正是由于開(kai)源軟(ruan)件(jian)可(ke)能通過多種不(bu)同(tong)形式引(yin)入(ru)(ru)代碼(ma)庫,這(zhe)就要求(qiu)SCA工(gong)具必須具備(bei)不(bu)同(tong)的(de)(de)探測技(ji)術來準(zhun)確(que)識別在各種場(chang)景下引(yin)入(ru)(ru)代碼(ma)庫中的(de)(de)開(kai)源軟(ruan)件(jian)。在這(zhe)一點上,清源SCA充分覆蓋(gai)所有的(de)(de)引(yin)入(ru)(ru)場(chang)景:
1. 多維度的探測技術
清源 SCA可(ke)進行(xing)代碼片段識別(bie)、文(wen)件識別(bie)、組件識別(bie)、依賴識別(bie)和容器鏡像掃(sao)描(miao)。通過多������種行(xing)業領先(xian)的算法打造出安全、合規(gui)、高效、易用的軟件成分(fen)分(fen)析系統(tong),為企(qi)業梳理研(yan)發過程中的軟件物料清單,提供強大的技術支(zhi)持。
SCA工具(ju)的(de)挑戰之一(yi)(yi)是如何完整、準確(que)的(de)識別出產品中所引入的(���������������de)開源組(zu)件,除了(le)多維度的(de)探測技(ji)術和匹配算法(fa)(fa)外(wai),同時(shi)必須有一(yi)(yi)個強大(da)的(de)數據(ju)(ju)庫(ku),在此(ci)基礎上(shang),關(guan)聯組(zu)件版(ban)本(ben)的(de)許可證、漏洞、加密算法(fa)(fa)等其(qi)他特征數據(ju)(ju)。
2. 強大的數據庫
清(qing)(qing)源(yuan)SCA擁(yong)有(you)海量數據(ju)儲備,其中(zhong)包含24萬漏洞數據(ju)、1億7千(qian)萬的(de)(de)組件(jian)(jian)信息、3萬億行開源(yuan)代(dai)碼、2,000多種許可證類型、1000億文(wen)件(jian)(jian)特征信息等,檢測范�������圍覆蓋各大(da)開源(yuan)組件(jian)(jian)倉庫(ku)。清(qing)(qing)源(yuan)SCA龐大(da)的(de)(de)數據(ju)庫(ku)為(wei)準確識(shi)別(bie)開源(yuan)組件(jian)(jian)提供強大(da)的(de)(de)支(zhi)撐,保證組件(jian)(jian)識(shi)別(bie)的(de)(de)完整(zheng)性。同時,清(qing)(qing)源(yuan)SCA的(de)(de)專家團隊不斷優化數據(ju)庫(ku)匹(pi)配(pei)算法的(de)(de)效率(lv)和性能,保證持續更新和積累。
隨(sui)著近年DevOps的(de)應用與(yu)發展,SCA工(gong)具(ju)(ju)作為(wei)工(gong)具(ju)(ju)鏈當中的(de)一(yi)環(huan),集成(cheng)與(yu)接入能(neng)(neng)力顯得尤為(wei)重要(yao);其次,作為(wei)一(yi)款成(cheng)熟的(de)企(qi)業(ye)(ye)級(ji)的(de)SCA工(gong)具(ju)(ju),必須經過大(da)型企(qi)業(ye)(ye)的(de)落(luo)地(di)實踐(jian)檢(jian)驗(yan),產品性能(neng)(neng)需要(yao)滿(man)足大(da)型企(qi)業(ye)(ye)的(de)高標準的(de)要(yao)求(qiu),工(gong)具(ju)(ju)絕不能(neng)(neng)成(cheng)為(wei)影響研發效(xiao)率的(de)卡點。通常大(da)型企(qi)業(ye)(ye)的(de)業(ye)(ye)務場(chang)景(jing)、組(zu)織架構比較復雜(za),所以(yi)一(yi)款企(qi)業(ye)(ye)級(ji)SCA工(gong)具(ju)(ju)必須具(ju)(ju)備�������負載(zai)均衡等(deng)靈活的(de)方式來滿(man)足企(qi)業(ye)(ye)復雜(za)的(de)需求(qiu)場(chang)景(jing)。
3. 企業級的解決方案
清源SCA作為一款已(yi)在(zai)大型互聯�����網企業落(luo)地實踐(j�������ian)的SCA工(gong)具,具備以(yi)下特點:
- 安全與合規并重
- 高并發
- 可擴展性
- 數據隔離
- 支持大型項目(>5GB、多語言)掃描
清源(CleanSource) SCA憑借突出的產品性能,可通過負載均衡等方式滿足高并發的需求。同具有極強的可擴展性、可滿足數據隔離,來達到資源的合理分配和最大化利用。
為(w�����ei)滿足企業的(de)數據(ju)安全合規需求,清源SCA同(tong)時支持私有云和公(gong)有云部署(shu)。作為(wei)一(yi)款軟件(jian)成(cheng)分(fen)分(fen)析的(de)工具,在提供本(ben)地部署(shu)的(de)同(tong)時兼(jian)顧(gu)數據(ju)庫快速、高效更(gen�����g)新。
4. 靈活的部署和更新
清源(yuan)SCA引擎和KB庫(ku)均支持本(ben)地(di)部(bu)署,支持掃(sa�����o)描(miao)(miao)、代(dai)碼比對等(deng)全部(bu)離(li)線掃(sao)描(miao)(miao)分析能力,掃(sao)描(miao)(miao)過程(cheng)無(wu)需連接外網;并且代(dai)碼進(jin)行不可逆加(jia)密������后識別,無(wu)代(dai)碼泄(xie)露風險。KB庫(ku)支持增量更新(xin)(xin),多(duo)種(zhong)方式滿(man)足客戶在不影響業務(wu)的(de)前提下快速、高效的(de)完成更新(xin)(xin)。
多維(wei)度的(de)(de)(de)探測技術、強(qia�������ng)大(da)的(de)(de)(de)數據庫、企業級的(de)(de)(de)解決方案以及(ji)靈(ling)活的(de)(de)(de)部署和更新方式構成了清源SCA的(de)(de)(de)強(qiang)大(da)產品優勢,同(tong)時,此次(ci)在騰(teng)訊的(de)(de)(de)成功部署,體現了安勢信息對大(da������)型企業強(qiang)大(da)的(de)(de)(de)技術支持(chi)能(neng)力。
作為開源(yuan)領域(yu)的(de)"資深玩家(jia)",騰訊(xun)(xun)很早就開始接觸和(he)使(shi)用(yong)SCA工(gong)(gong)具(ju)來推動(dong)內(nei)部開源(yuan)安(an)全和(he)合規(gui)(gui)治理。面(mian)對規(gui)(gui)模愈趨龐(pang)大、復雜的(de)開源(yuan)組件,一(yi)款兼具(ju)掃描(mia�����o)準(zhun)確(que)與(yu)(yu)高性(xing)能的(de)企業(ye)級SCA工(gong)(gong)具(ju)顯得(de)尤(you)為重要。清(qing)源(yuan)(CleanSource) SCA工(gong)(gong)具(ju),經過多輪PoC測(ce)試,從眾(zhong)多國內(nei)外競品中脫穎而出,滿足(zu)了騰訊(xun)(xun)對SCA工(gong)(gong)具(ju)的(de)高標準(zhun)要求:掃描(miao)速度(du)快、掃描(miao)結(jie)果準(zhun)確(que)、及合規(gui)(gui)性(xing)掃描(miao)能力、知識(shi)庫全面(mian),達到提(ti)升內(nei)部安(an)全與(yu)(yu)合規(gui)(gui)管控的(de)目的(de)。
隨著國家數字化轉型不斷加速和開源產業的持續發展,多項發布的政策把開源上升到國家政策層面,肯定了開源模式對信息技術創新和軟件產業發展的重要性。同時,頻繁的開源軟件安全漏洞使開源軟件的安全與合規風險受到空前重視,安勢信(xin)息(xi)十分肯定SCA軟件成分分析技術將得到更加廣泛的應用。未來,安勢信息會繼續加大對產品研發的投入,不斷進行技術創新,助力提升中國軟件供應鏈安全。
