11月6日-8日,2022国际开源节在深圳福田会展中心隆重召开。在11月7日的 OpenSSF 开源安全中国峰会的分会场上,上海安势信息技术有限公司资深解决方案架构师朱贤曼发表了题为《企业如何应对开源软件供应链安全问题》的精彩演讲,以下是部分现场分享内容:
近年来,开源生态发展势头迅猛,在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。在现代的开发模式中,开源无所不在。随着软件产业的快速发展,软件供应链也愈发复杂、多元,软件供应链安全问题的严峻性已成为各方共识。
软件供应链的复杂性
什么是软件供应链?
传统的供应链(Supply Chain)是指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构,即将产品从商家送到消费者手中的整个链条。
如下图所示,软件供应链的生产环节涉及开发人员、硬件制造商等多个环节和背后提供相关支持服务的多家公司,其复杂性不言而喻。我们可以将软件供应链定义为参与开发应用程序的所有组件的开发、构建和软件产品分发的过程。
软件供应链的构成有哪些?
-
硬件和基础设施 -
操作系统 -
编译器和编辑器 -
云服务和数据中心 -
驱动和依赖项 -
开源脚本和打包好的软件 -
代码仓库引擎、测试套件以及CI/CD工具
开源软件供应链面临哪些风险
企业如何应对开源软件供应链安全问题
针对软件开发过程中使用的规模愈趋庞大与复杂的开源组件,朱贤曼建议企业从以下五个方面着手应对开源软件供应链安全问题:
1
使用前
主动预防,建立准入机制,确保来源可靠
2
使用中
3
生产过程中
保护各生产环节,提供可信证据
4
维护
建立应急响应机制,持续跟踪漏洞,快速响应
5
维护
全生命周期管理,定期更新和适时退出
目前国内偏大型公司在开源治理方面做的比较好,中小公司更多的还是会优先关注产品功能等问题。但可以看到的是,近几年国内对于开源的讨论越来越多,相信会有更多的人开始关注开源合规与安全问题。
作为守护软件供应链安全的一员,朱贤曼表示:“我们很荣幸能够参与共建中国开源软件供应链安全事业,也欢迎更多志同道合的伙伴加入我们,一起拥抱开源。未来,我们也将继续携手客户与合作伙伴,共建和谐的开源生态。”
往期推荐
如何使用清源 CleanSource SCA 管理开源风险
如何使用清源CleanSource SCA建立软件物料清单(SBOM)
关于安势信息
上海安势信息技术有限公司成立于2021年,致力于解决软件供应链中的安全和合规问题,目前已完成数千万元天使轮融资。作为中国市场领先的软件供应链安全治理工具提供商,安势信息以SCA(软件成分分析)产品作为切入点,围绕DevSecOps流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
点个在看 你最好看