海云安SCA平台迎来新升级 助力企业全面透视开源组件安全风险
2021-08-30 10:22:21
海云安选择此时升级SCA产品,主要因开源软件安全风险加剧、用户需求升级及合规要求提高,其新平台通过自动化检测、全流程对接和闭源组件支持等优势,助力企业高效管理开源组件风险。
一、升级背景与必要性- 开源软件安全形势严峻近年来,开源软件漏洞事件频发,如SolarWinds源码后门植入、Apache Log4j漏洞、Spring框架远程命令执行漏洞等,均表明开源组件已成为攻击者重点目标。开源组件作为程序代码,其漏洞不可避免,且随着供应链复杂化,风险传导速度加快。
许可证冲突问题凸显据新思科技报告,65%的代码库存在许可证冲突,滥用未经授权的开源组件可能导致法律纠纷和商业风险。例如,GPL协议要求衍生代码必须开源,若企业未合规使用,可能面临知识产权诉讼。
用户需求升级传统开发安全工具(如AST)侧重代码自身漏洞,但开源组件带来的外部风险未被充分重视。海云安此前将SCA功能作为白盒检测工具的组件,已无法满足用户对开源风险独立治理的需求,因此推出独立平台。
- 自动化检测与可视化管理
SBOM软件物料清单:自动收集应用包含的组件、版本及许可证信息,生成可视化报告,帮助用户快速掌握开源组件使用情况。
知识库日更新:依托国内领先的开源组件库、漏洞库和许可证库,实现每日更新,确保风险识别时效性。
全流程自动化对接
开发流水线集成:支持自定义策略配置,如通过风险评分自动阻断高风险组件,并以邮件通知项目负责人,实现漏洞修复的闭环管理。
DevOps工具与组件仓库对接:与Git、Jenkins、Jira等工具及JFrog Artifactory、Sonatype Nexus等仓库无缝对接,自动推送检测报告和修复建议,减少人工干预。
闭源商用组件检测能力海云安基于移动应用SDK数据库,扩展了对闭源商用组件的检测能力,可提前发现SDK中的潜在风险,弥补传统SCA产品仅覆盖开源组件的局限。
已使用风险组件的应急处置
安全预警:SCA平台通过SBOM反推,快速定位受影响的Spring组件及其应用项目,并自动通知项目负责人。
修复指导:平台实时更新官方修复建议和版本信息,指导开发人员完成漏洞修复,缩短应急响应时间。
新项目风险预防在项目开发早期,SCA平台持续监测引入的组件,第一时间发现风险并阻断,将安全风险扼杀在萌芽阶段。例如,若开发团队计划引入存在漏洞的Spring版本,平台会立即发出警报并阻止部署。
开源组件应用规模持续扩大企业为降低开发成本、缩短周期,广泛采用开源组件。以Log4j为例,尽管其存在风险,但重新开发日志工具的成本极高,中小企业难以承担,因此开源组件的依赖度将进一步提升。
风险管理意识增强企业逐渐认识到,非核心业务功能可能通过开源组件或第三方外包实现,因此需加强供应链安全管控。例如,金融机构在监管要求下,已将开源技术应用纳入安全合规范畴。
政策驱动市场增长2021年中国人民银行等五部委发布《关于规范金融业开源技术应用与发展的意见》,明确要求保障信息系统安全,推动SCA等开源风险治理工具的普及。海云安等厂商将迎来发展机遇期。
海云安SCA平台的升级,精准回应了开源软件安全风险加剧、用户需求升级和合规要求提高的三大挑战。其自动化检测、全流程对接和闭源组件支持等创新功能,为企业提供了高效、全面的开源风险治理解决方案。随着开源组件应用规模的扩大和风险管理意识的增强,SCA产品市场将持续向好,海云安有望在这一赛道中占据领先地位。
热门标签
