大数跨境
首页
>
​谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险!
>
0
0

​谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险!

​谁说SCA只能给程序员用?清源SCA助力法务人员管理代码合规风险! 安势信息
2024-01-12
1
导读:法务人员0门槛上手的清源SCA,梳理组件许可证合规,降低审核成本。

1

Part.1

现状


大家好,这里是安势信息。
SCA工具作为近几年新兴的代码扫描工具,一直是大家关注的重点。SCA工具的存在为企业的漏洞管理能力以及开源代码风险管理带来了极大的价值,但在开源发展的早期,开源代码的合规风险却常常被企业所轻视甚至忽略,最终让企业因此付出了惨痛的代价。
而随着近几年开源的发展及开源治理的逐步普及,代码的合规问题也终于受到了大家的重视,然而,重视是一回事,真正的开展相关工作却是众多企业面临的直接问题,在笔者看来主要原因无非两方面:
  • 合规问题涉及法律相关知识,有着巨大的信息壁垒,非专业人士无从下手
  • 法务人员与开发人员双方角色和角度的不同导致难以形成合力,跨部门协作困难
我们来看一下安势A客户存在的开源合规难以推进的实例,各位法务人员可以看看是否能“感同身受”:

开发人员与法务人员的“爱恨情仇”


【1】A企业是上千人的大规模企业,内部的开发项目繁多,涉及的开源代码量极大。


【2】在原先的流程中,往往是当某产品在发版前,由开发部门的A团队额外付出时间将项目中涉及到的SBOM清单(开源组件)、版权等问题整理归纳成线上文档模式给到法务部门的B团队。


【3】由于开发人员缺乏法律知识,对组件版权及许可声明了解不多,且有开发任务在身,时间紧张,所以需要专业法务人员对使用到的组件所声明的许可证原文内容分析以确认是否符合原作者许可要求


【4】B团队需要花费大量时间进行合规性分析。【法务人员审核—安全团队审核—返回开发整改】这样的一套流程下来,耗时久,极大降低研发效率,而且多个团队“你来我往”,难免互生嫌隙,都不想再继续推动合规问题或安全问题的解决。


所以,如果能就让法务团队适时的参与到开发流程中,例如在使用某个组件前由法务人员查询了解到对应的许可证并给出一定的开源组件选型指导,抑或是通过SCA工具梳理出存在高风险许可证的组件降低法务人员的审核成本,在大量组件需要审核时优先对高风险许可证组件进行审核,就能大大避免项目后期对代码进行修改的“大动干戈”。

而如何能让法务人员尽量无感的开展对代码合规的相关问题进行检测与集成呢?

接下来我就以一名“技术小白”的视角,用清源SCA来帮助法务人员对项目代码合规问题进行跟踪与风险监测,无需让开发人员在中间进行“传递”工作,法务人员自己简单操作就能对项目代码进行合规监测。

2

Part.2

操作步骤


Step1:


登录清源SCA后上传源代码:
登陆后在左侧列表栏中选择任务管理—创建任务。

Step2: 


上传需要进行扫描的源码包
(这里以zip格式举例)
PS:根据企业不同的部署方式及情况,法务人员也有可能无需操作第一二步,集成在内部流程中只需登录账号即可对项目代码的相关风险进行查看。

Step3: 


简单进行检测配置,然后开始扫描:
点击检测配置,后勾选【检测范围】,然后在检测范围中仅留下许可证检测及版权检测,最后填写项目名,然后点击【确认】即可开始扫描。

Step4: 


查看扫描结果:我们看到数据分析完成后即可点击该项目查看扫描结果
作为法务人员,我们可以在结果界面直观的看到我们想要了解的相关合规信息。

例如:该项目为何种许可证,包含多少种许可证,以及存在的告警有哪些。

与此同时,法务人员可以直接查看告警信息第一时间了解法律风险情况。
点击【策略告警】,如下图:
可以看到该项目中有三个组件使用了GPL许可证。
但需要注意的是,告警信息的检测规则可以由法务人员自行定义,演示中我使用的规则为——检测到GPL许可证就显示为高危告警,同样的,我们可以在策略管理中进行其他规则的设置,步骤如下:

1)点击左侧任务栏的策略管理—添加策略

2)自行定义告警规则,例如下图演示,出现【篡改了许可证】时进行高危的告警。

我们再继续回到查看结果的界面:
我们可以根据组件的许可证名称、风险等级、兼容性等多种方式对项目中的所有组件进行检索,与此同时,也可以下拉组件列表单独查看每一个组件所对应的许可证信息。同时,可以在界面上部的许可证风险一栏查看可能存在的许可证冲突、许可证兼容、许可证篡改等风险。

与此同时,因为开源代码涉及到的许可证数量众多,所以我们也内置了对许可证信息进行直接查询的实用功能,如下图:

搜索以后,点击该许可证即可查看许可证原文信息及其他相关信息(如下图):


3

Part.3

总结


以上即为清源SCA对于法务人员来说的一个最小使用闭环,因为在企业的真实使用场景中,检测规则及适用项目范围是较为复杂的,而且企业内部的开发原则及流程不同,也会面临多种选择,具体的情况仍需视企业情况具体制定,但本质的操作逻辑是一样的。

对于开发和法务两个部门来说,在推进合规工作时最害怕遇到的情况就是彼此间的“鸡同鸭讲”,因为在对应板块的学术壁垒导致沟通效率低,会直接影响公司开发流程的正常推进。而清源SCA工具可以为跨部门间的协作与沟通带来极大的效率提升,并且能够根据版本项目的不同实时的进行风险管控。

为适应有跨国团队的客户需求, 清源SCA也进行了国际化适配, 提供英文界面、文档及多语言技术支持。让清源SCA成为法务人员的第一款SCA,我们欢迎您的试用并非常感谢您提出宝贵的意见!

关于安势信息


上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。


欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。

点击蓝字 关注我们


【声明】内容源于网络
0
0
安势信息
安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
内容 170
粉丝 0
安势信息 安势信息是国内先进的软件供应链安全治理解决方案提供商,提供包括清源SCA(软件成分分析)、清本SAST(静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等解决方案,提供各行业的软件供应链安全治理最佳实践。
总阅读487
粉丝0
内容170