头图

安势清源 SCA 助力超大规模高科技企业加速开源风险治理

近日,上海安势信息技术有限公司的清源 SCA 工具在腾讯成功部署。

开源软件在促进全球的技术创新方面发挥着越来越重要的作用,企业越来越依赖开源软件来加速开发与创新。据 Gartner 的调查报告,如今超过 90% 的企业在其重要的 IT 系统中使用了开源软件。不过正如 2021 年底爆发的 Log4j 事件对整个软件供应链造成的影响,开源安全问题仍然充满挑战。通过 SCA (Software Composition Analysis, 软件组成分析) 工具,可帮助企业构建准确的 SBOM (Software bill of materials, 软件物料清单),提供清晰的软件成分可视性分析,降低和管理应用或容器中因使用开源软件和其他第三方代码(软件)引入的安全、质量与许可证合规性风险。

在软件开发过程中,企业将不可避免的直接或间接引入开源软件。如在开发阶段由开发人员引入的代码片段,通过 Maven 等常用的包管理器引入的依赖等,正是由于开源软件可能通过多种不同形式引入代码库,这就要求 SCA 工具必须具备不同的探测技术来准确识别在各种场景下引入代码库中的开源软件。在这一点上,清源 SCA 充分覆盖所有的引入场景:

1、多维度的探测技术

清源 SCA 可进行代码片段识别、文件识别、组件识别、依赖识别和容器镜像扫描。 通过多种行业领先的算法打造出安全、合规、高效、易用的软件成分分析系统,为企业梳理研发过程中的软件物料清单,提供强大的技术支持。

SCA 工具的挑战之一是如何完整、准确的识别出产品中所引入的开源组件,除了多维度的探测技术和匹配算法外,同时必须有一个强大的数据库,在此基础上,关联组件版本的许可证、漏洞、加密算法等其他特征数据。

2、强大的数据库

清源 SCA 拥有海量数据储备,其中包含 24 万漏洞数据、1 亿 7 千万的组件信息、3 万亿行开源代码、2,000 多种许可证类型、1000 亿文件特征信息等,检测范围覆盖各大开源组件仓库。

清源 SCA 庞大的数据库为准确识别开源组件提供强大的支撑,保证组件识别的完整性。同时,清源 SCA 的专家团队不断优化数据库匹配算法的效率和性能,保证持续更新和积累。

随着近年 DevOps 的应用与发展,SCA 工具作为工具链当中的一环,集成与接入能力显得尤为重要;其次,作为一款成熟的企业级的 SCA 工具,必须经过大型企业的落地实践检验,产品性能需要满足大型企业的高标准的要求,工具绝不能成为影响研发效率的卡点。通常大型企业的业务场景、组织架构比较复杂,所以一款企业级 SCA 工具必须具备负载均衡等灵活的方式来满足企业复杂的需求场景。

3、企业级的解决方案

清源 SCA 作为一款已在大型互联网企业落地实践的 SCA 工具,具备以下特点:

● 安全与合规并重

● 高并发

● 可扩展性

● 数据隔离

● 支持大型项目(>5GB、多语言)扫描

清源 SCA 凭借突出的产品性能,可通过负载均衡等方式满足高并发的需求。同时具有极强的可扩展性、可满足数据隔离,来达到资源的合理分配和最大化利用。

为满足企业的数据安全合规需求,清源 SCA 同时支持私有云和公有云部署。作为一款软件成分分析的工具,在提供本地部署的同时兼顾数据库快速、高效更新。

4、灵活的部署和更新

清源 SCA 引擎和 KB 库均支持本地部署,支持扫描、代码比对等全部离线扫描分析能力,扫描过程无需连接外网;并且代码进行不可逆加密后识别,无代码泄露风险。KB 库支持增量更新,多种方式满足客户在不影响业务的前提下快速、高效的完成更新。

多维度的探测技术、强大的数据库、企业级的解决方案以及灵活的部署和更新方式构成了清源 SCA 的强大产品优势,同时,此次在腾讯的成功部署,体现了安势信息对大型企业强大的技术支持能力。

作为开源领域的“资深玩家”,腾讯很早就开始接触和使用 SCA 工具来推动内部开源安全和合规治理。面对规模愈趋庞大、复杂的开源组件,一款兼具扫描准确与高性能的企业级 SCA 工具显得尤为重要。清源 SCA 工具,经过多轮 PoC 测试,从众多国内外竞品中脱颖而出,满足了腾讯对 SCA 工具的高标准要求:扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面,达到提升内部安全与合规管控的目的。

随着国家数字化转型不断加速和开源产业的持续发展,多项发布的政策把开源上升到国家政策层面,肯定了开源模式对信息技术创新和软件产业发展的重要性。同时,频繁的开源软件安全漏洞使开源软件的安全与合规风险受到空前重视,我们十分肯定 SCA 软件成分分析技术将得到更加广泛的应用。未来,安势信息会继续加大对产品研发的投入,不断进行技术创新,助力提升中国软件供应链安全。

关键词:
软件成分分析;SCA;清源 SCA;开源安全和合规;开源风险;代码片段识别;SBOM;软件物料清单;腾讯;腾讯开源治理;安势信息;软件供应链安全;开源风险治理

关于安势信息

上海安势信息技术有限公司成立于 2021 年,致力于解决软件供应链中的安全和合规问题,目前已完成数千万元天使轮融资。作为中国市场领先的软件供应链安全治理工具提供商,安势信息以 SCA(软件成分分析)产品作为切入点,围绕 DevSecOps 流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网 www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。


Sectrend势说新语
上海安势信息技术有限公司致力于解决软件供应链中的安全和合规问题。安势信息以行业领先的SCA (软件组...

上海安势信息技术有限公司致力于解决软件供应链中的安全和合规问题。安势信息以行业领先的SCA (软件组...

1 声望
1 粉丝
0 条评论
推荐阅读
如何使用清源CleanSource SCA建立软件物料清单(SBOM)
提升软件供应链的透明度是解决开源代码安全与合规问题的未来方向, SBOM 是其中最关键之处。无论开发团队规模大小与否,确保应用程序安全的一个必要步骤是评估用于创建应用程序的开源组件的供应链是否安全。通过...

安势信息阅读 186

封面图
万字详解,吃透 MongoDB!
MongoDB 是一个基于 分布式文件存储 的开源 NoSQL 数据库系统,由 C++ 编写的。MongoDB 提供了 面向文档 的存储方式,操作起来比较简单和容易,支持“无模式”的数据建模,可以存储比较复杂的数据类型,是一款非常...

JavaGuide5阅读 847

封面图
三年前端的2022,如果创造比卷更有趣,那为何创造不能成为主旋律?
up主2019年毕业,找了一份前端工作,一直干到现在。2019年末出现疫情,三年的时间,也差不多与我的职业生涯完全重合了。刚过去的2022年,我也没有避开阳的命运(这病毒是真的强),就12月这一个月时间,几乎全公...

Gomi9阅读 1.6k

封面图
个人/团队/公司开源,Joyqi 谈贡献开源的「不同姿势」
前不久,Answer.dev 创始人 @Joyqi 受到邀请,在刚刚结束的 GitHub Universe 的 Local Party 上做了题为「用 GitHub 构建开源项目的各种姿势」的主题分享。以下为他的分享实录。

AnswerDev7阅读 1.5k评论 2

一次偶然机会发现的MySQL“负优化”
今天要讲的这件事和上述的两个sql有关,是数年前遇到的一个关于MySQL查询性能的问题。主要是最近刷到了一些关于MySQL查询性能的文章,大部分文章中讲到的都只是一些常见的索引失效场合,于是我回想起了当初被那个...

骑牛上青山7阅读 1.8k评论 2

「 2022-年度总结 」我的Vue.js生态开源之旅
大家好,转眼又到一年的尾巴了。好久没写文章了,因为今年工作之余更多的是活跃在开源社区,借着年底思考怀疑人生(偷懒)的空闲时间想跟大家分享今年我在Vue.js生态的做的事情和对开源的看法,也算是「2021」我给V...

null仔4阅读 1.1k

封面图
张晋涛:我的 2022 总结
大家好,我是张晋涛。2022 年已经结束,我每年都会惯例的做个小回顾,今年因为阳了在恢复身体,一直拖到了今天才写。生活在 2022 年初做回顾的时候,觉得 2021 是魔幻的一年,但现在看来 2022 年其实更加魔幻。一...

张晋涛6阅读 730评论 2

封面图

上海安势信息技术有限公司致力于解决软件供应链中的安全和合规问题。安势信息以行业领先的SCA (软件组...

1 声望
1 粉丝
宣传栏