大家好,这里是安势信息。
清源SCA 2.0发布接近半年,我们收到了诸多用户的反馈与建议,在这半年的时间里,不少企业就清源SCA 2.0的使用与我们进行了诸多交流,同时也带来了一些最佳实践,今天就与大家进行分享。
清源SCA与企业开源合规团队建设
人是工具的唯一使用者,工具是关键,但本质上人才是核心。所以对于企业来说,在引入一套完整的开源合规治理工具以后,为了明确权责的划分,以为了提升团队对于工具的使用效率,避免不必要的人力精力被浪费,开源合规团队的建设是必要的。这样的团队最优解应该由法务团队、技术人员和外部律师组成,各个部门之间需要密切合作以应对开源带来的风险。
首先,法务团队是核心角色,技术人员是实施开源合规政策的关键执行者,而外部的律师成员,作为一道“保险”,在企业面临及其复杂的许可证问题或其他开源合规问题时能够有效的“投石问路”。
该团队的组成人员中,来自于内部或外部的不同部门,所以跨部门协作是必须的,某种意义上,开源合规的成功就是基于高效率的跨部门沟通协作。同时,对于一些拥有OSPO的企业来说,OSPO可以作为一个主导者来对该团队进行更加精细的职责分工以及管理,也是该团队内不同部门人员协调沟通的有效桥梁。
Tips
清源SCA 2.0现在已经支持不同部门间的协同使用,可以设立一个最高权限者为企业开源合规团队中不同部门的人员分配不同程度的使用权限,例如:开发人员无法对开源许可证库进行修改管理,同样的法务人员无法对开源代码库中的组件进行删除或禁止等等。
清源SCA与企业开源合规知识库搭建
企业的开源合规治理在很多时候需要以开源合规知识库为基础,这也就意味着开源合规知识库的搭建及其相关能力的使用是企业的必要存在,清源SCA除了提供强大的开源代码扫描能力,也有着全面的囊括了全球开源合规数据的数据库。
开源合规知识库需要能够快速检索开源许可证的能力,在这样的知识库里,应该涵盖各种常见的开源许可证要点及相关风险提示,并提供简明扼要的解释,为法务和技术人员提供便捷的可操作参考。
在以往,常常是人工(由法务团队协同开发团队)去搭建这样的一个知识库,繁多的许可证和各异的条款限制无疑会大大增加企业的人力物力。清源SCA就是那个可以即时使用的开源合规知识库,可以随时对开源许可证进行查询和检索,比如开发人员可以在初期阶段通过简单的检索能力排除一些对企业可能产生不利的许可证的组件。
同时,开源合规知识库也是企业进行开源许可证分组管理的基础。基于清源SCA,开源合规团队可以对开源许可证进行分组管理以制定对应的开源策略,这使得法务人员可以根据不同许可证的传染性强弱以及公司的实际需求等将许可证划分为不同的组别,例如【自由使用组别】、【审查后批准组别】、【禁止使用组别】等等,这能够大大减少法务部门与开发部门间的沟通成本,提高开发效率。
最后,开源合规知识库的另外一个作用是能够对开源组件合规进行监察及风险检测。开源合规中的风险主要有许可证冲突、许可证缺失、许可证篡改等问题,对这类问题进行检测及扫描是软件产品上线前的一道防线。清源SCA基于背后基于全球的强大数据库,能够有效检测出代码中上述提到的各类合规风险。
Tips
企业开源合规知识库的搭建是企业开展开源合规治理的基础,清源SCA能够在数据层面为企业提供检索查询能力,在使用层面让对应权限人员对许可证组件进行分组及调整,在自动化层面提供给企业多个代码库(庞大代码量)和多个使用者的情况下进行风险检测的能力。
清源SCA与合规的软件开发流程
在企业的开源合规治理中,不仅要考虑企业自身的软件开发流程,也需要考虑到整个软件供应链中上下游所带来的合规风险,只有对上游的合规风险有足够的知见,才能更好的对企业内部的合规风险进行管控,也是提升软件供应链透明度的必要手段。在合规的软件开发流程中,SBOM的运用是不可或缺的一环。
SBOM的存在对于企业了解自身的产品中使用了哪些开源软件是最高效的手段之一。首先,开发团队在软件开发流程的起始阶段,在最理想的情况下,应该要求每一个被选用了的开源软件组件都要生成对应的SBOM,SBOM的存在让整个软件的开发生命周期中关于开源组件的版本、依赖关系等信息的追溯成为可能。
在软件设计和规划阶段,开发团队可以对SBOM的完整性和准确性进行验证,同时指定适用于企业自身的SBOM规范,为后续的合规工作提供实质性支持。
在编码和测试阶段,SBOM可以作为有效的参考依据帮助开发团队开展开源组件安全性和合规性的验证,及时解决潜在的问题。
在软件部署和交付阶段,开发团队可以基于SBOM信息来规范新开发软件的许可证声明等信息,以及提供给下游用户正确有效的使用文档、安装说明等。
在软件维护和更新阶段,开发团队可以借助SBOM重新评估和验证每个开源组件,以确定其合规性是否有变,是否需要更新或替换。
如此种种,在整个软件开发流程中,以SBOM为重要依据来保证软件产品的合规性。
Tips
清源SCA可以低敏的为企业的开发合规提供保障,同时清源SCA可以生成目前市面上主流格式的SBOM,帮助企在上述开发阶段中迅速快捷的生成SBOM以供使用。
总结
以上便是清源SCA在2.0发布以后,我们众多客户对其运用的一些实践,我们希望基于这些分享能够对您提供一定的帮助,扩大您对于开源合规治理的知见。当然,我相信开源合规治理的最佳实践有多种方式,本文仅为大家分享从清源SCA的角度开展的一些情况。
我们也明白目前开源合规治理的相关工作并没有在我国实现大面积的普及,基于公司规模和市场环境的多方面因素考量,很多企业并没有足够的人力与成本投入到开源合规治理中,但是我真诚的建议每一位读者重视开源合规的治理,行动往往落后于意识,但是若是意识都未曾萌发,那行动将滞后更多,而这无疑对整个开源生态在我国的进一步发展和建设将带来极大的负面影响。所以,或许可以从一次开源代码资产的梳理开始?或者从一场开源组件许可证科普了解的讲座开始?
同时,清源SCA 将在近期发布开源版本及社区版本,让业内的大家以低成本或者0成本的形式开启开源治理的大门,大家敬请期待!也同时欢迎您就开源合规治理与我们开展进一步的交流及讨论!
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
点击蓝字 关注我们