开源代码安全 | 西门子为保护代码安全采取了什么措施？

西门子瑞士股份有限公司拥有5,900名员工，为超过3万名客户提供服务。由于提供的解决方案包括支持人工智能（AI）和用于数字转型的开放平台应用程序，以及可以监控和优化建筑性能的基于云的高级分析，所以保护代码的安全毋庸置疑是首要任务。

他们需要一款能与公司现有系统的开发生命周期和工具链集成，并扩展其能力的工具，还必须拥有全面的许可证覆盖范围，最终，他们决定部署Mend。阅读本文，您将了解到Mend如何帮助西门子加快反馈循环，应对快速发布节奏的挑战。

龙智作为DevSecOps解决方案提供商、Mend（原WhiteSource）授权合作伙伴，始终关注开源代码安全问题，致力于帮助您将“安全”理念真正落地在DevOps的实践中。欢迎联系我们，了解如何通过SCA工具Mend解决开源代码安全问题。

西门子瑞士股份有限公司是全球科技巨头西门子股份有限公司在瑞士地区的实体公司。西门子瑞士股份公司为能源、物流、交通、医疗保健和建筑等多个行业提供技术解决方案。该公司主要通过降低建筑的运营成本、风险和环境影响，来帮助客户提高能源效率和可持续性。该公司的技术充分利用建筑数据来优化能源消耗、性能、质量、采购和供应。

它的解决方案包括支持人工智能（AI）和用于数字转型的开放平台应用程序，以及可以监控和优化建筑性能的基于云的高级分析。该公司已经为各种类型的建筑——教育设施、医院、可持续数据中心、工作空间、智能办公室、酒店、历史建筑和博物馆成功提供了解决方案。西门子瑞士股份有限公司拥有5,900名员工，为超过3万名客户提供服务。

面临的挑战

马库斯·莱特纳是西门子瑞士公股份有限公司云解决方案的工程师，也是国际云平台团队中的一员，该平台主要提供建筑能耗的数据洞察和分析。保护代码毋庸置疑是首要任务，该团队使用了多种工具，包括内部漏洞管理软件以及许可和版权许可程序。然而，团队在管理公司使用的大量开源软件时遇到了困难。他们使用手动过程来识别、分析和明确软件组件和依赖关系，但由于公司使用了各种资源和语言（至少8种，包括C、C++、c#、Go、Java、JavaScript、Python和Ruby），这个任务变得很复杂。不出所料，团队被这种缓慢、繁琐和昂贵的手动过程所困扰，管理变得更困难了。

马库斯和他的团队希望减少手动工作量，提高扫描和修复漏洞的自动化程度。马库斯总结了这个挑战：“我们所使用的开源软件数量太多，手动扫描和修复缓慢且麻烦。我们需要通过减少手动工作量，提高自动化程度来加快漏洞管理的流程。”

为了构建一个更简单的流程，该团队想要一个可以轻松地与公司现有系统的开发生命周期和工具链集成，并扩展其功能的工具。它还必须拥有全面的许可证覆盖范围，让团队能够全面地了解他们的软件组成。解决方案还要能根据团队需要配置的策略与后端进行良好的沟通，确保他们能够控制开发流水线。最后，他们希望从供应商处获得重要的技术支持和可靠的业务关系。

“手动扫描和修复我们所使用的大量的开源软件既慢又麻烦。我们需要通过减少手动工作量，提高自动化程度来加快漏洞管理的流程。”

西门子为什么选择Mend解决方案

马库斯和他的团队组建了一个跨职能的评估团队来研究解决方案，其中包括法务和业务部门。经过概念验证后，该公司在2019年部署了Mend SCA。

速度是问题关键所在。正如马库斯所说，“我们从Mend中获得的最大价值是快速的反馈循环，它使我们的开发者能够快速响应任何漏洞或许可问题。当一个漏洞或许可证被忽视或屏蔽，并且违反了政策时，他们会直接得到反馈。”

在软件开发生命周期的早期快速检测组件中被禁止或屏蔽的许可证，也是非常重要的。Mend SCA使团队能够快速、轻松地生成软件材料清单（SBOM），识别潜在且棘手的法律问题，所以他们可以轻松避免这些法律问题。

易于使用也是一个重要的考虑因素。让现有的团队成员使用新的软件通常需要一个学习教育的过程，所以Mend的易用性对马库斯和他的团队来说是一个关键的因素。Mend的仪表板使结果清晰透明，易于理解，而且容易操作。

“我们从Mend中获得的最大价值是快速反馈循环，它使我们的开发人员能够快速响应任何漏洞或许可问题。当一个漏洞或许可证被忽视或屏蔽，并且违反了政策时，他们会直接获得反馈。”

Mend给西门子带来了什么？

部署Mend SCA的主要目的是为了在扫描、识别和修复漏洞时节省时间和资源，同时提高了许可合规性。马库斯说，自从他的团队与Mend合作以来，这个过程已经大大加快，他强调了能够实现这一目标的重要原因之一，是Mend能够直接指向受影响的库。

马库斯说：“有了Mend，安全流程已经左移，这样开发者就可以快速得到反馈并做出反应。它大大提高了速度，避免了旧方法繁琐的手动重复工作。现在，我们能够以一种更敏捷的方式在sprint中工作。由于从Mend获得结果的速度显著提高，我们现在可以应对快速发布节奏的挑战。” 在某些情况下，以前可能需要几天或几周的时间，现在只需要几个小时或几分钟。

Mend带来的效果不仅限于速度，它已经被团队和公司积极地采用。当Mend在2019年首次在西门子瑞士股份有限公司部署时，只有60个许可证。在接下来短短两年多的时间里，这一数字已经增长到200个许可证，跨越了组织内的10个流（Streams）。马库斯列出了迅速采用Mend的几个原因：首先，他的团队对使用Mend SCA很满意。其次，他们认为Mend非常全面。第三点不需要过多解释，那就是易用性，Mend有一个可以让他们能快速上手的UI。最后，为他们创造了一种无缝的体验，在常规工作流程中就可以使用Mend。

事实上，马库斯指出，访问Mend SCA是新开发人员加入其团队时首先要做的事情之一。

Mend——您编码，我修复

Mend，原WhiteSource，可以轻松地保护开发人员创造的内容。Mend以其独特的方式消除企业对应用程序安全的负担，让开发团队能够更快地交付高质量、安全的代码。在满足复杂和大规模应用程序安全的需求方面，Mend的口碑一向很好，所以要求严苛的软件开发人员都信赖Mend。Mend拥有超过1000家客户，其中包括25%的《财富》100强公司。