棱镜七彩FossCheck | 聚焦信创赛道，助力国家软件供应链安全战略

出品丨自主可控新鲜事

转载请注明出处

正文共3505，建议阅读时间10分钟

开源代码检测保障软件供应链安全

 在开源日益成为趋势的当下，很多软件产品的开发人员会选择基于开源项目进行二次开发，而大多数软件开发人员缺少识别和处理开源代码风险的能力和意识，开源软件模块或组件的重复使用，会加速和扩大代码中的漏洞、恶意代码乃至“后门”等潜在隐患传播，对国家信息安全带来严重危害，从而造成难以估量的损失。

解决软件供应链安全问题，最好的办法就是从源头上（源代码）解决安全隐患。这不仅要从软件生产流程上规范开源软件的使用，还要从软件开发周期上引入必要的流程管理和技术检测来保障软件供应链的安全。对于信创厂商来说，可以从以下三个方面入手，投入资源提升自身软件安全。

一、使用技术手段对软件代码进行检测

从技术角度分析，软件行业的代码审查难度比较大。引用的开源项目错综复杂，对于各类开源协议又难以兼顾，这就需要软件从业厂商引入专业的软件代码检测工具和平台，对软件源代码的缺陷、开源软件漏洞、软件开源许可证进行检测挖掘、跟踪预警和甄别。而对于信创厂商来讲，又多了一项工作：软件源代码的成分分析，即软件原创代码（自主率）比例分析。针对软件源代码，安全重点应该放在使用的开源代码组件质量和开源许可证的风险上，使用专业的软件、工具和平台，能够对这些问题进行非常有效的质量管理、风险预警以及安全检测。

二、借助大数据和人工智能开展安全检测

随着开源项目的不断壮大，以及各类开源软件库的不断扩充，开源代码行数也越来越多。传统的软件安全从业厂商对于“海量代码”以及愈发复杂的开源授权协议，往往不能很好的处理。近些年，随着人工智能和大数据的兴起，越来越多的人意识到，人工智能和大数据是一个解决开源软件漏洞的“良方”。利用大数据机器学习来挖掘开源软件漏洞已成为一种趋势。针对当前软件类型、数量的爆炸式增长和供应链市场现状可见，大数据和人工智能必将成为保障软件供应链安全的“左膀右臂”。

三、加强供应链软件攻击的防范 

近些年，软件安全事件频发，黑客及不法分子的攻击手段也花样频出，其中一种就是在用户升级、维护软件的过程中进行攻击。如果在版本升级过程中遇到黑客攻击多数企业都难以预防，更不用说及时控制影响范围，这是因为企业在安全防范领域人才能力储备不足，另一方面是这种攻击的隐蔽性、复杂性强。要避免类似安全事件，防范针对软件供应链的攻击，就需要信创厂商加强软件供应链安全的思想建设、增加人才储备。

FossCheck技术优势，开源知识库和源代码克隆检测算法

FossCheck系列工具，开源、安全、合规应用场景

1.软件“自主可控”分析 

2016年《国家信息化发展纲要》战略目标提出，到2025年，根本改变核心关键技术受制于人的局面，形成安全可控的信息技术产业体系；2020年国家“十四五”规划提出，坚持自主可控、安全高效，推进产业基础高级化、产业链现代化。从国家战略规划可以看出，对自主可控，从关键技术已经提升到产业链的战略高度。

七彩FossCheck从“自研”与“开源”的关系角度提出了解决方案，开源代码作为一种可以被探知的实体存在，对科技项目进行溯源检测，从“非开源”和“开源”的光谱结构中就可以得到自主代码大致比例与情况。

七彩FossCheck为用户提供软件代码自主率检测服务，分析软件代码的开源成分、安全风险和知识产权等方面的信息，目前已服务多家信创企业客户，且得到良好的反馈，帮助企业实现“自主可控”信息安全要求。

2.软件供应链的代码安全性与合规性管控

基于当代软件模块化开发与敏捷开发需求，软件开发中会大量使用外部代码，如委托开发的代码、开源代码、二进制库等，开源作为一种被广泛采用的开发模式，开源软件被大量采用，已经深入软件供应链。与传统供应链不同，开源软件供应链模块数量多、生产线上化、供应全球、仓储集中、用户多样，不法分子可以利用供应链中已有的漏洞进行组合攻击，或向供应链的上游注入恶意程序、发布及使用过程中违反开源协议。

七彩FossCheck 源代码安全检测平台能对外部代码的安全性和合规性进行深入仔细地分析，及时发现外部代码的安全性风险和开源许可证的合规性风险，并且利用大数据分析技术，对开源项目进行多维度分析和评价，为用户选型提供支持。并且以开源项目、组织团体为视角，建立了供应链风险识别与评估体系，量化评价指标，规避事件、出口管制等问题。

3.研发安全与智能运维

开源软件由于其开放性，更容易被有心者研究寻找破坏方式，事实上，近年来开源漏洞在新增漏洞中占比已接近40%，在研发阶段，软件开发者会大量使用开源组件，这又无形中放大了开源漏洞的影响范围。同时，选定的开源组件在研发和运行过程中，可能会出现新的版本或者安全漏洞。

七彩FossCheck源代码安全检测平台专注开源治理，能根据开源组件成分，支持对漏洞影响范围进行溯源分析，分析影响的产品、项目，并将引入组件定位到行，新版本的发布或者新安全漏洞的发生提供推送和警告，使用户及时更新版本或者修复漏洞，实现研发安全与智能运维。 

4.科技项目验收与企业并购审计

科技项目通常在立项之初便确立明确的功能需求与技术指标，然而当下项目验收主要采用验收测试与专家评审方法，只能对项目功能实现和技术达标等方面进行检验，对于深层次的问题则不能解答：项目是否完全自主研发？是否引入外部组件？是否存在安全和法律问题？研发管理和工程造价是否与计划相符合？这些问题都不能通过简单的测试评审获得解答，原因在于评审验收工作缺乏这类事实数据支撑，从而无法做出正确判断。

七彩FossCheck通过项目检测分析、开源溯源，可将项目分光为明确具体的数据，为解决研发管理、项目验收提供可靠的数据支撑。对于项目的分解清单可扩展至——开源清单（BOM），形成企业、部门、项目的开源资产分布情况、确定软件科技项目自研部分价值，同时许可合规性/兼容性风险评估可帮助投资者/收购团队验证所使用的组件的许可不会威胁到公司的知识产权，确保使用组件的方式符合投资者团队的许可要求。无论在企业日常软件资产管理还是审计并购都可以发挥巨大作用。

工具官网：https://www.7-cai.com

免责声明：本文系网络转载，版权归原作者所有。但因转载众多，或无法确认真正原始作者，故仅标明转载来源，如涉及作品版权问题，请与我们联系，我们将在第一时间协商版权问题或删除内容！内容为作者个人观点，并不代表本公众号赞同其观点和对其真实性负责。