年终特闻：全球首款企业级OpenSCA技术开源发布会在京圆满召开

12月30日，由悬镜安全、OpenSCA联合主办的全球首款企业级OpenSCA技术开源发布会在北京泰富酒店如期举行，以“线上联动+线下交互”的模式同步进行。中国信息通讯研究院、中国网络安全产业联盟、国家信息技术安全研究中心、腾讯安全科恩实验室、百度工程效能部效率云、东方通集团、中兴通讯、乐信集团、北京赛博英杰科技有限公司、国浩律师（北京）事务所等组织机构的专家、学者、行业领袖等齐聚现场，共同见证企业级开源治理解决方案「悬镜源鉴OSS开源威胁管控平台」正式官宣开源化。

发布会现场高潮不断，精彩纷呈，针对“开源软件”、“供应链安全”等热点带来不同角度的学术探讨与实践分享，共同展望开源产业生态下的安全新态势。

技术驱动下的安全新态势

近年来，随着云计算、AI、IOT等技术的不断发展，IT等信息技术领域也有了新的突破，可以更好的赋能关键信息基础设施建设。然而，安全作为主旋律，一直是备受关注的焦点。一方面，传统安全防护措施的缺失，对于新型高级威胁缺少防护壁垒；另一方面，开源趋势下，事后防御的手段已不满足安全需求，“安全左移”下提出了更高的安全需求。

尤其是，近日影响力巨大的log4j 2.x的漏洞事件，引起了轩然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都为我们敲响了安全警钟。如何做好此类事件的威胁防护、开源安全的风险治理是需要大家积极探讨的新命题。

开源安全探索与创新实践

在本次大会上，悬镜安全创始人兼CEO子芽以《用开源的方式做开源风险治理》为主题，围绕“开源”、“风险治理”、“OpenSCA”等关键词做了精彩分享。子芽表示，应用开源是大势所趋，但是避免不了Web通用漏洞、业务逻辑漏洞、开源成分的缺陷及后门等漏洞问题，而用开源的方式做开源风险治理，可以让开源用多样性拥抱不确定性，形成开源新范式。

此次，悬镜安全对外发布OpenSCA开源技术，是为了解决看不清、摸不透、跟不上、防不住的治理难题。OpenSCA作为悬镜安全旗下商业级SCA产品源鉴OSS开源威胁管控平台的开源版本，它继承了源鉴OSS的多源SCA开源应用安全缺陷检测核心能力。

而且，子芽认为，创新的过程也是价值迭代创造的过程，更有利于拓展人类认知实践的边界。而且希望用开源的方式做开源风险治理，和大家一起，守护中国软件供应链安全！

图1 悬镜安全创始人兼CEO子芽分享

中兴通讯开源合规&安全治理总监项曙明以《构建开源可信供应链实践分享》为主题进行了分享，开源标准体系的不断落地，行业应用的不断实践以及客户需求的逐渐成熟与清晰，我们不得不意识到开源安全治理能力成为企业必选，逐渐成为了企业进入市场的准入门槛。企业应根据所处行业特点、企业经营模式和特点，结合外部环境及要求，进行企业开源风险场景分析，制定适合企业长期发展的开源风险治理策略，以更加开放的商业姿态拥抱开源。

图2  中兴通讯开源合规&安全治理总监项曙明分享

国浩律所（北京）事务所合伙人胡静以《开源软件出口管制合规探讨》为主题探讨了什么是美国出口管制、美国出口管制与开源软件的关系、出口管制下的开源软件合规思路，解析软件管理中的长辖管理规则，助于我们建立开源软件管理的全球视野与国际化合规认知。

图3  国浩律师事务所合伙人胡静分享

腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享了《以二进制SCA为核心的制品扫描》，他指出，制品扫描是重要的质量关卡，同时也是运营、开发过程重要的安全信息来源，而制品中也面临着License商业风险、开源组件、linux内核漏洞风险、敏感信息泄露、系统安全基线等安全问题，而以二进制SCA为核心，检测安全风险，可以保障检出率。主要从5个方面入手：

1. 二进制文件收集及格式解析
2. 检测技术的选择
3. 开源组件特征库维护
4. Kernel内核漏洞检测
5. 嵌入式系统安全检查

图4  腾讯安全科恩实验室DevSecOps技术专家赵洪阳分享

乐信集团信息安全总监刘志诚以《生态闭环治理开源供应链安全》为主题做了精彩分享，他提出在开源软件的生命周期管理中，应该做好引入前、引入后、事件响应三个阶段的准备工作，做好安全风险的评估与治理，应急演练，风险转移工作，避免技术（漏洞验证、漏洞分析、缓解措施、代码修复）、资源（可持续性评估、应急响应、风险转移）带来的安全难题，共建保险、共享、社区的安全新生态，形成安全闭环。

图5 乐信集团信息安全总监刘志诚分享

中国信息通信研究院云大所云计算部副主任郭雪以《开源风险现状分析与SCA标准解读》对开源、开源组成要素、发展历程、产业发展等方向做了解读，数据显示，全球开源项目数量和我国开源项目数量都呈现了较大的增长，然而也面临着技术与运维、管理风险等可以预见但是无法规避的困难与挑战，针对这一现象国家不断推出了开源相关政策，大力认可开源带来的生态价值和产业价值。最后，郭主任系统解读了信通院依据开源生命周期建立的可信开源标准体系，帮助大家对开源的有序发展及体系化、标准化运营建立了更加清晰的框架性认知。

图6 中国信息通信研究院云大所云计算部副主任郭雪分享

用开源的方式做风险安全治理

   当前，开源已覆盖软件开发的全域场景，正在构建新的软件技术创新体系，引领新一代信息技术创新发展。据不完全统计，全球97%的软件开发者和99%的企业使用开源软件，基础软件、工业软件、新兴平台软件大多基于开源，开源软件已经成为软件产业创新源泉和“标准件库”。与此同时，开源许可证的兼容性问题、开源项目的合规问题、开源安全漏洞问题和开源知识产权的侵权等问题也日趋凸显。

   任何问题的出现，总要找到相应的解决方案！悬镜安全数十位来自北大的科研人员、行业专家智库，历时26280个小时潜心打磨，提出了“用开源的方式做开源风险治理”，希望用简单的配置即可完成对开源组件所使用的成分进行检测，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，助力企业进行开源风险的识别及治理。

未来，悬镜安全将依托软件供应链安全技术，布局开源安全产业生态，以前瞻性产业视角视角构筑行业安全生产线，不断拓展人类认知实践的边界，在更大的范围帮助更多的企业实现开源风险治理，助力开源生态健康有序发展。