近日,由中国信息通信研究院主办的“2024中国信通院ICT深度观察报告会——开源和软件供应链论坛”在京召开。会上,中国信通院重磅发布了2023可信开源与可信安全系列评估结果,京东云提报的“SSCM软件供应链管理工具”成为下半年度唯一通过“SBOM可信软件物料清单总体能力要求评估”的项目。
企业在面对软件供应链管理时,常常会遇到“理不清、看不见、找不到”的痛点:首先,企业不清楚在系统中使用了多少第三方软件和组件,第三方组件通常又会依赖其它更多组件,多级依赖使整个组件结构非常复杂,难以理清;其次,企业使用第三方组件时,即使是已产生过安全漏洞和知识产权风险的“老组件”,也无法及时“看见”风险漏洞并处理;第三,企业在第三方组件出现漏洞时,无法快速定位受影响的组件,评估影响范围。
基于此,京东云打造了基于SBOM的软件供应链管理工具SSCM软件,以全面、准确和实时的软件成分分析能力,为软件供应链做“全身体检”,快速“靶向”修复漏洞,规避合规风险,进而确保软件供应链的安全。
具体来说,SSCM软件供应链管理工具可基于开源组件信息库遴选优质组件,审核和引入新的组件;同时,工具可清晰记录应用及环境所使用的组件版本,进行版本控制并追踪其变更。通过反向追溯软件,该工具可迅速确定漏洞的影响范围,快速修复或替换。
在软件采购和资产管理方面,SSCM软件供应链管理工具可以扫描外采软件成分,评估质量、安全性和合规性,确保符合组织要求,精准管理软件资产。
值得一提的是,在法律合规专家的支持下,软件已将业内2700余种开源协议解析,给非法律专业的开发者以更明确、简易、安全的指导,让开源协议与使用场景一一对应成为可能。目前,这一法律合规与技术的“结合体”已在京东内部多个技术团队中广泛应用。基于京东内部实践,SSCM软件供应链管理工具成熟稳定,开箱即用,不依赖其他基础设施即可快速帮助技术团队搭建软件供应链安全的基本能力。
近年来,以Log4j和SolarWinds等为代表的软件供应链安全事件频发,进一步推动了业界对于软件物料清单的关注程度。为了筑牢软件供应链安全“防火墙”,中国信通院持续开展软件供应链安全相关研究工作,构建软件供应链安全标准体系,牵头编写《软件物料清单总体能力要求》标准,并依据标准开展系列评估工作。其中,可信软件物料清单能力评估旨在通过软件物料清单数据层面的评估,为企业在生成软件物料清单数据格式时提供参考,推动可信软件物料清单体系的建设,助力软件供应链安全体系治理。同时,该评估还致力于建立行业间的互信机制,构建安全可信的生态系统,助力企业持续发展。
在软件供应链趋于复杂化和多样化的当下,软件供应链安全风险不断加剧,软件供应链成为影响软件安全的关键因素之一。越来越多的企业将建立以开源软件和商采软件为核心的全生命周期软件供应链安全管理体系,明确软件物料清单数据格式规范,并开展软件供应链安全资产管理工作。
面向未来,京东云愿与业内权威机构、企业携手共建安全、合规、健康、可持续的开源生态。
发表评论