开发者社区 > 博文 > 京东云开源软件治理工具SSCM强势来袭!免费试用
分享
  • 打开微信扫码分享

  • 点击前往QQ分享

  • 点击前往微博分享

  • 点击复制链接

京东云开源软件治理工具SSCM强势来袭!免费试用

  • 京东云开发者
  • 2024-03-29
  • IP归属:北京
  • 100浏览

    开源软件是数字时代研发创新和效率的引擎

    开源软件占所使用的所有软件的70%,是支持企业转型的创新生态系统不可或缺的部分。

    根据奇安信的2023中国软件供应链安全分析报告,被分析的2631个国内企业软件项目中,100%使用了开源软件,平均每个项目使用155个。

    开源软件使用存在的风险

    开源并不是“免费”,开源软件的使用,可能存在严重的组件安全漏洞、许可证合规、运维等风险。

    安全漏洞

    开源组件和第三方依赖关系繁多且变化频繁,可能潜伏未知的安全漏洞,给企业和组织带来潜在风险

    许可证风险

    组件和依赖的使用,可能受到各种许可证的限制,从而导致法律纠纷、代码被迫开源等问题。

    运维风险

    研发所选用的低质量开源组件,可能更新频率低甚至停止维护,带来质量和维护问题。

    SBOM概念

    SBOM(Software Bill of Materials)是一种清单或记录,用于描述软件产品的构成要素,类似物理产品的配料清单,详细列出软件中所包含的所有组件、相关许可证协议的清单,以及所有组件之间依赖关系的描述。

    SBOM提供了可见性,帮助用户精准掌控开源软件版本、依赖以及许可证信息,是开源治理的有效抓手。

    京东云星光SSCM开源软件治理工具

    京东云星光SSCM(Software Supply Chain Management),是基于SBOM的开源软件治理工具。它源自京东开源组件管理、安全合规及知识产权保护的实践探索,提供全面、准确和实时的软件物料清单采集与分析能力,打造企业级标准化软件成分信息库,并集成组件漏洞库和许可证库,赋能组织高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

    产品目标

    高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

    产品功能

    软件成分分析

    识别软件所有开源组件、版本及依赖关系,镜像Layers,产生软件开源漏洞和许可证风险评估报告,按需生成各种格式SBOM文件。

    软件资产管理

    建立包含开源台账的软件资产库,见人之所未见,实现对资产进行精细化管理,并能够加入筛选规则,进而规范开源组件的使用流程。

    组件反向溯源

    建立反向溯源关系,定位指定版本的组件被组织内软件所使用情况,当出现安全漏洞时,能够精准锁定受影响的软件范围,快速响应。

    开源漏洞管理

    提供完善的组织组件漏洞库,并实时同步权威漏洞信息,同时支持漏洞的检索和查看,追溯受影响的软件包,并提供修复建议。

    许可证管理

    提供完整的开源许可证库,落地京东集团开源软件合规使用规范,内嵌京东法律合规团队对百种以上常见开源许可证的应用建议。

    在线工具

    SBOM验证工具检验SBOM文件是否被篡改,保证一致性与安全性;SBOM格式转换工具提供SBOM文件多种标准的转换能力。

    工具集成

    与CI/CD集成自动采集SBOM信息并提前预警风险,与制品库集成规范开源组件的引入,与信息安全管理工具集成快速响应漏洞。

    应用场景

    开源组件选用

    基于开源组件信息库遴选优质组件,审核及引入新的组件

    安全开发

    尽早发现和解决安全风险,实现安全左移,阻断隐含高危安全风险的应用上线

    漏洞应急响应

    通过反向追溯软件,迅速确定漏洞的影响范围,快速修复或替换

    软件采购

    扫描外采软件成分以评估其质量、安全性及合规性,确保符合组织要求

    软件资产管理

    有效管理软件资产,包括软件和组件的版本、依赖关系和安全状况等

    审计及知识产权

    软件资产审计,安全审计,许可证合规审计及保护知识产权

    产品价值

    提高质量与安全

    平台赋能开发者选择高质量的组件,并能够有效跟踪组件的来源、版本和依赖关系,快速定位并解决漏洞,确保组件的质量,保障组织安全。

    提高效率

    平台赋能研发团队快速发现可信的组件,便利地使用组件,同时能够精准地定位组件漏洞,从而提升软件架构设计、编码,以及解决问题的效率。

    降低风险

    平台提供精细和动态的开源组件、漏洞及许可证信息,赋能安全合规人员高效的合规审计和快速的漏洞修复,降低安全合规风险。

    降低成本

    平台的使用,既能大大降低软件交付全生命周期中使用和维护组件的成本,又有效减少研发组织管理组件及修复组件漏洞的成本。


    image.png

    免费试用,扫一扫