安勢清源SCA助力超大規模高科技企業(yè)加速開(kāi)源風(fēng)險治理

　　近日，上海安勢信息技術(shù)有限公司的清源SCA工具在騰訊成功部署。

　　開(kāi)源軟件在促進(jìn)全球的技術(shù)創(chuàng )新方面發(fā)揮著(zhù)越來(lái)越重要的作用，企業(yè)越來(lái)越依賴(lài)開(kāi)源軟件來(lái)加速開(kāi)發(fā)與創(chuàng )新，根據 Gartner 的調查報告，如今超過(guò) 90% 的企業(yè)在其重要的 IT 系統中使用了開(kāi)源軟件。不過(guò)正如2021年底爆發(fā)的Log4j事件對整個(gè)軟件供應鏈造成的影響，開(kāi)源安全問(wèn)題仍然充滿(mǎn)挑戰。通過(guò)SCA (Software Composition Analysis, 軟件成分分析) 工具，可幫助企業(yè)構建準確的 SBOM (Software bill of materials, 軟件物料清單)，提供清晰的軟件成分可視性分析，降低和管理應用或容器中因使用開(kāi)源軟件和其他第三方代碼（軟件）引入的安全、質(zhì)量與許可證合規性風(fēng)險。

　　在軟件開(kāi)發(fā)過(guò)程中，企業(yè)將不可避免的直接或間接引入開(kāi)源軟件。如在開(kāi)發(fā)階段由開(kāi)發(fā)人員引入的代碼片段，通過(guò)Maven等常用的包管理器引入的依賴(lài)等，正是由于開(kāi)源軟件可能通過(guò)多種不同形式引入代碼庫，這就要求SCA工具必須具備不同的探測技術(shù)來(lái)準確識別在各種場(chǎng)景下引入代碼庫中的開(kāi)源軟件。在這一點(diǎn)上，清源SCA充分覆蓋所有的引入場(chǎng)景：

　　1.多維度的探測技術(shù)

　　清源SCA可進(jìn)行代碼片段識別、文件識別、組件識別、依賴(lài)識別和容器鏡像掃描。通過(guò)多種行業(yè)領(lǐng)先的算法打造出安全、合規、高效、易用的軟件成分分析系統，為企業(yè)梳理研發(fā)過(guò)程中的軟件物料清單，提供強大的技術(shù)支持。

　　SCA工具的挑戰之一是如何完整、準確的識別出產(chǎn)品中所引入的開(kāi)源組件，除了多維度的探測技術(shù)和匹配算法外，同時(shí)必須有一個(gè)強大的數據庫，在此基礎上，關(guān)聯(lián)組件版本的許可證、漏洞、加密算法等其他特征數據。

　　2.強大的數據庫

　　清源SCA擁有海量數據儲備，其中包含24萬(wàn)漏洞數據、1億7千萬(wàn)的組件信息、3萬(wàn)億行開(kāi)源代碼、2,000多種許可證類(lèi)型、1000億文件特征信息等，檢測范圍覆蓋各大開(kāi)源組件倉庫。清源SCA龐大的數據庫為準確識別開(kāi)源組件提供強大的支撐，保證組件識別的完整性。同時(shí)，清源SCA的專(zhuān)家團隊不斷優(yōu)化數據庫匹配算法的效率和性能，保證持續更新和積累。

　　隨著(zhù)近年DevOps的應用與發(fā)展，SCA工具作為工具鏈當中的一環(huán)，集成與接入能力顯得尤為重要；其次，作為一款成熟的企業(yè)級的SCA工具，必須經(jīng)過(guò)大型企業(yè)的落地實(shí)踐檢驗，產(chǎn)品性能需要滿(mǎn)足大型企業(yè)的高標準的要求，工具絕不能成為影響研發(fā)效率的卡點(diǎn)。通常大型企業(yè)的業(yè)務(wù)場(chǎng)景、組織架構比較復雜，所以一款企業(yè)級SCA工具必須具備負載均衡等靈活的方式來(lái)滿(mǎn)足企業(yè)復雜的需求場(chǎng)景。

　　3.企業(yè)級的解決方案

　　清源SCA作為一款已在大型互聯(lián)網(wǎng)企業(yè)落地實(shí)踐的SCA工具，具備以下特點(diǎn)：

　　? 安全與合規并重

　　? 高并發(fā)

　　? 可擴展性

　　? 數據隔離

　　? 支持大型項目（>5GB、多語(yǔ)言）掃描

　　清源(CleanSource) SCA憑借突出的產(chǎn)品性能，可通過(guò)負載均衡等方式滿(mǎn)足高并發(fā)的需求。同具有極強的可擴展性、可滿(mǎn)足數據隔離，來(lái)達到資源的合理分配和最大化利用。

　　為滿(mǎn)足企業(yè)的數據安全合規需求，清源SCA同時(shí)支持私有云和公有云部署。作為一款軟件成分分析的工具，在提供本地部署的同時(shí)兼顧數據庫快速、高效更新。

　　4.靈活的部署和更新

　　清源SCA引擎和KB庫均支持本地部署，支持掃描、代碼比對等全部離線(xiàn)掃描分析能力，掃描過(guò)程無(wú)需連接外網(wǎng)；并且代碼進(jìn)行不可逆加密后識別，無(wú)代碼泄露風(fēng)險。KB庫支持增量更新，多種方式滿(mǎn)足客戶(hù)在不影響業(yè)務(wù)的前提下快速、高效的完成更新。

　　多維度的探測技術(shù)、強大的數據庫、企業(yè)級的解決方案以及靈活的部署和更新方式構成了清源SCA的強大產(chǎn)品優(yōu)勢，同時(shí)，此次在騰訊的成功部署，體現了安勢信息對大型企業(yè)強大的技術(shù)支持能力。

　　作為開(kāi)源領(lǐng)域的"資深玩家"，騰訊很早就開(kāi)始接觸和使用SCA工具來(lái)推動(dòng)內部開(kāi)源安全和合規治理。面對規模愈趨龐大、復雜的開(kāi)源組件，一款兼具掃描準確與高性能的企業(yè)級SCA工具顯得尤為重要。清源(CleanSource) SCA工具，經(jīng)過(guò)多輪PoC測試，從眾多國內外競品中脫穎而出，滿(mǎn)足了騰訊對SCA工具的高標準要求：掃描速度快、掃描結果準確、及合規性?huà)呙枘芰?、知識庫全面，達到提升內部安全與合規管控的目的。

　　隨著(zhù)國家數字化轉型不斷加速和開(kāi)源產(chǎn)業(yè)的持續發(fā)展，多項發(fā)布的政策把開(kāi)源上升到國家政策層面，肯定了開(kāi)源模式對信息技術(shù)創(chuàng )新和軟件產(chǎn)業(yè)發(fā)展的重要性。同時(shí)，頻繁的開(kāi)源軟件安全漏洞使開(kāi)源軟件的安全與合規風(fēng)險受到空前重視，安勢信息十分肯定SCA軟件成分分析技術(shù)將得到更加廣泛的應用。未來(lái)，安勢信息會(huì )繼續加大對產(chǎn)品研發(fā)的投入，不斷進(jìn)行技術(shù)創(chuàng )新，助力提升中國軟件供應鏈安全。

　　關(guān)于安勢信息

　　上海安勢信息技術(shù)有限公司成立于2021年，致力于解決軟件供應鏈中的安全和合規問(wèn)題，目前已完成數千萬(wàn)元天使輪融資。作為中國市場(chǎng)領(lǐng)先的軟件供應鏈安全治理工具提供商，安勢信息以SCA（軟件成分分析）產(chǎn)品作為切入點(diǎn)，圍繞DevSecOps流程，著(zhù)力于從工具到流程再到組織，堅持持續創(chuàng )新，打造獨具特色的端到端開(kāi)源治理最佳實(shí)踐。