开源治理
开源软件已成为新一轮科技进步和数字变革的核心基础设施。开源软件的安全风险和合规问题,却成为掣肘数字化建设的关键因素。
悬镜安全为您提供专业的开源治理解决方案:针对软件的引入、使用、运维、退出等各阶段进行开源风险的发现和治理,树立覆盖开源软件全生命周期的管理流程和规范,并构建与之相匹配的团队技能和制度文化。
开源风险加剧,治理刻不容缓
据统计,当前平均每个数字应用的开源成分接近78%-90%。伴随着开源软件的供应加速、开源需求的爆发式增长,数字供应链各个环节和各主体所暴露出的攻击面不断增多,而供应链中广泛存在的组件依赖、交互协同也会导致安全威胁迅速蔓延。
155
平均每个软件项目使用开源软件数
110
平均每个软件存在已知开源漏洞数
1/6
软件项目使用了含有超、高危许可协议的开源软件
开源治理核心目标
全方面梳理企业存量和增量开源软件资产
梳理企业开源软件资产,建立企业级开源软件台账,针对存量和增量开源资产,从被动转为主动,面对后续风险实现可查询、可定位、可修复。
建立完善的开源治理体系流程
建设工具平台、建立规范制度、标准流程和管理团队,多维度保障数字供应链中的开源软件引入、使用及运维环节安全可控,全面落地开源治理体系。
建立自动化的开源治理能力
结合企业自身开发流程,构建从引入、开发、测试及上线运营、运维流程的自动化开源安全治理能力,满足架构、开发、安全及风控多部门多角度的治理要求。
供应链安全情报先行,树立及时的开源风险预警能力
通过领先的数字供应链安全情报中心,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析。
开源安全治理体系建设
实施过程
制定计划
调研
制定方案
实施方案
过程改进
推广
增量&存量
存量系统的开源组件台账
增量组件审查及风险控制
制度&流程
开源软件安全管理规范
开源软件引入评估流程
开源软件引使用流程
开源软件更新/退出流程
开源软件持续跟踪评估
工具平台
源鉴SCA开源威胁管控平台
CICD/DevOps平台
缺陷管理平台
统一登陆认证平台
源码/组件/制品仓库
数字供应链安全情报
组织架构
研发团队
测试团队
安全团队
质量团队
培训
开源安全体系培训
安全检测工具培训
许可证合规安全培训
我们的优势
第三代DevSecOps数字供应链威胁管理体系全面支撑
由悬镜原创专利级“数字供应链安全管理平台+敏捷工具链+供应链安全情报预警”的数字供应链安全审查与治理能力体系提供支撑,连续多年产品市场应用率蝉联第一,赋能数千个行业头部用户落地开源治理实践。
开源治理技术标准制定者
深度参编《网络安全技术软件产品开源代码安全评价方法》、《开源软件治理能力评价方法》《|网络安全技术 软件供应链安全要求》等国家标准和行业标准,拥有业内领先的开源治理经验。
用开源的方式做开源风险治理
OpenSCA开源社区涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户,为全球开发者们和广大安全研究人员构筑了专注安全开发与开源治理的技术创新实践社区。
开源风险治理实践案例
降低63%开源组件漏洞修复成本
金融
车联网
运营商
在线咨询
