12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級OpenSCA技術(shù)開源發(fā)布會(huì)在北京泰富酒店如期舉行，以“線上聯(lián)動(dòng)+線下交互”的模式同步進(jìn)行。中國信息通訊研究院、中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟、國家信息技術(shù)安全研究中心、騰訊安全科恩實(shí)驗(yàn)室、百度工程效能部效率云、東方通集團(tuán)、中興通訊、樂信集團(tuán)、北京賽博英杰科技有限公司、國浩律師（北京）事務(wù)所等組織機(jī)構(gòu)的專家、學(xué)者、行業(yè)領(lǐng)袖等齊聚現(xiàn)場，共同見證企業(yè)級開源治理解決方案「懸鏡源鑒OSS開源威脅管控平臺」正式官宣開源化。

　　發(fā)布會(huì)現(xiàn)場高潮不斷，精彩紛呈，針對“開源軟件”、“供應(yīng)鏈安全”等熱點(diǎn)帶來不同角度的學(xué)術(shù)探討與實(shí)踐分享，共同展望開源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢。

　　近年來，隨著云計(jì)算、AI、IOT等技術(shù)的不斷發(fā)展，IT等信息技術(shù)領(lǐng)域也有了新的突破，可以更好的賦能關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)。然而，安全作為主旋律，一直是備受關(guān)注的焦點(diǎn)。一方面，傳統(tǒng)安全防護(hù)措施的缺失，對于新型高級威脅缺少防護(hù)壁壘；另一方面，開源趨勢下，事后防御的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

　　尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護(hù)、開源安全的風(fēng)險(xiǎn)治理是需要大家積極探討的新命題。

　　在本次大會(huì)上，懸鏡安全創(chuàng)始人兼CEO子芽以《用開源的方式做開源風(fēng)險(xiǎn)治理》為主題，圍繞“開源”、“風(fēng)險(xiǎn)治理”、“OpenSCA”等關(guān)鍵詞做了精彩分享。子芽表示，應(yīng)用開源是大勢所趨，但是避免不了Web通用漏洞、業(yè)務(wù)邏輯漏洞、開源成分的缺陷及后門等漏洞問題，而用開源的方式做開源風(fēng)險(xiǎn)治理，可以讓開源用多樣性擁抱不確定性，形成開源新范式。

　　此次，懸鏡安全對外發(fā)布OpenSCA開源技術(shù)，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級SCA產(chǎn)品源鑒OSS開源威脅管控平臺的開源版本，它繼承了源鑒OSS的多源SCA開源應(yīng)用安全缺陷檢測核心能力。

　　而且，子芽認(rèn)為，創(chuàng)新的過程也是價(jià)值迭代創(chuàng)造的過程，更有利于拓展人類認(rèn)知實(shí)踐的邊界。而且希望用開源的方式做開源風(fēng)險(xiǎn)治理，和大家一起，守護(hù)中國軟件供應(yīng)鏈安全！

　　圖1 懸鏡安全創(chuàng)始人兼CEO子芽分享

　　中興通訊開源合規(guī)&安全治理總監(jiān)項(xiàng)曙明以《構(gòu)建開源可信供應(yīng)鏈實(shí)踐分享》為主題進(jìn)行了分享，開源標(biāo)準(zhǔn)體系的不斷落地，行業(yè)應(yīng)用的不斷實(shí)踐以及客戶需求的逐漸成熟與清晰，我們不得不意識到開源安全治理能力成為企業(yè)必選，逐漸成為了企業(yè)進(jìn)入市場的準(zhǔn)入門檻。企業(yè)應(yīng)根據(jù)所處行業(yè)特點(diǎn)、企業(yè)經(jīng)營模式和特點(diǎn)，結(jié)合外部環(huán)境及要求，進(jìn)行企業(yè)開源風(fēng)險(xiǎn)場景分析，制定適合企業(yè)長期發(fā)展的開源風(fēng)險(xiǎn)治理策略，以更加開放的商業(yè)姿態(tài)擁抱開源。

　

　　圖2  中興通訊開源合規(guī)&安全治理總監(jiān)項(xiàng)曙明分享

　　國浩律所（北京）事務(wù)所合伙人胡靜以《開源軟件出口管制合規(guī)探討》為主題探討了什么是美國出口管制、美國出口管制與開源軟件的關(guān)系、出口管制下的開源軟件合規(guī)思路，解析軟件管理中的長轄管理規(guī)則，助于我們建立開源軟件管理的全球視野與國際化合規(guī)認(rèn)知。

　　

　　圖3  國浩律師事務(wù)所合伙人胡靜分享

　　騰訊安全科恩實(shí)驗(yàn)室DevSecOps技術(shù)專家趙洪陽分享了《以二進(jìn)制SCA為核心的制品掃描》，他指出，制品掃描是重要的質(zhì)量關(guān)卡，同時(shí)也是運(yùn)營、開發(fā)過程重要的安全信息來源，而制品中也面臨著License商業(yè)風(fēng)險(xiǎn)、開源組件、linux內(nèi)核漏洞風(fēng)險(xiǎn)、敏感信息泄露、系統(tǒng)安全基線等安全問題，而以二進(jìn)制SCA為核心，檢測安全風(fēng)險(xiǎn)，可以保障檢出率。主要從5個(gè)方面入手：

　

　　圖4  騰訊安全科恩實(shí)驗(yàn)室DevSecOps技術(shù)專家趙洪陽分享

　　樂信集團(tuán)信息安全總監(jiān)劉志誠以《生態(tài)閉環(huán)治理開源供應(yīng)鏈安全》為主題做了精彩分享，他提出在開源軟件的生命周期管理中，應(yīng)該做好引入前、引入后、事件響應(yīng)三個(gè)階段的準(zhǔn)備工作，做好安全風(fēng)險(xiǎn)的評估與治理，應(yīng)急演練，風(fēng)險(xiǎn)轉(zhuǎn)移工作，避免技術(shù)（漏洞驗(yàn)證、漏洞分析、緩解措施、代碼修復(fù)）、資源（可持續(xù)性評估、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)轉(zhuǎn)移）帶來的安全難題，共建保險(xiǎn)、共享、社區(qū)的安全新生態(tài)，形成安全閉環(huán)。

　　圖5 樂信集團(tuán)信息安全總監(jiān)劉志誠分享

　　中國信息通信研究院云大所云計(jì)算部副主任郭雪以《開源風(fēng)險(xiǎn)現(xiàn)狀分析與SCA標(biāo)準(zhǔn)解讀》對開源、開源組成要素、發(fā)展歷程、產(chǎn)業(yè)發(fā)展等方向做了解讀，數(shù)據(jù)顯示，全球開源項(xiàng)目數(shù)量和我國開源項(xiàng)目數(shù)量都呈現(xiàn)了較大的增長，然而也面臨著技術(shù)與運(yùn)維、管理風(fēng)險(xiǎn)等可以預(yù)見但是無法規(guī)避的困難與挑戰(zhàn)，針對這一現(xiàn)象國家不斷推出了開源相關(guān)政策，大力認(rèn)可開源帶來的生態(tài)價(jià)值和產(chǎn)業(yè)價(jià)值。最后，郭主任系統(tǒng)解讀了信通院依據(jù)開源生命周期建立的可信開源標(biāo)準(zhǔn)體系，幫助大家對開源的有序發(fā)展及體系化、標(biāo)準(zhǔn)化運(yùn)營建立了更加清晰的框架性認(rèn)知。

　　

　　圖6 中國信息通信研究院云大所云計(jì)算部副主任郭雪分享

　　當(dāng)前，開源已覆蓋軟件開發(fā)的全域場景，正在構(gòu)建新的軟件技術(shù)創(chuàng)新體系，引領(lǐng)新一代信息技術(shù)創(chuàng)新發(fā)展。據(jù)不完全統(tǒng)計(jì)，全球97%的軟件開發(fā)者和99%的企業(yè)使用開源軟件，基礎(chǔ)軟件、工業(yè)軟件、新興平臺軟件大多基于開源，開源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng)新源泉和“標(biāo)準(zhǔn)件庫”。與此同時(shí)，開源許可證的兼容性問題、開源項(xiàng)目的合規(guī)問題、開源安全漏洞問題和開源知識產(chǎn)權(quán)的侵權(quán)等問題也日趨凸顯。

　　任何問題的出現(xiàn)，總要找到相應(yīng)的解決方案！懸鏡安全數(shù)十位來自北大的科研人員、行業(yè)專家智庫，歷時(shí)26280個(gè)小時(shí)潛心打磨，提出了“用開源的方式做開源風(fēng)險(xiǎn)治理”，希望用簡單的配置即可完成對開源組件所使用的成分進(jìn)行檢測，深度挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風(fēng)險(xiǎn)，助力企業(yè)進(jìn)行開源風(fēng)險(xiǎn)的識別及治理。

　　未來，懸鏡安全將依托軟件供應(yīng)鏈安全技術(shù)，布局開源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構(gòu)筑行業(yè)安全生產(chǎn)線，不斷拓展人類認(rèn)知實(shí)踐的邊界，在更大的范圍幫助更多的企業(yè)實(shí)現(xiàn)開源風(fēng)險(xiǎn)治理，助力開源生態(tài)健康有序發(fā)展。