安势清源SCA助力超大规模高科技企业加速开源风险治理

上海2022年10月14日 /美通社/ -- 近日，上海安势信息技术有限公司的清源SCA工具在腾讯成功部署。

开源软件在促进全球的技术创新方面发挥着越来越重要的作用，企业越来越依赖开源软件来加速开发与创新，根据 Gartner 的调查报告，如今超过 90% 的企业在其重要的 IT 系统中使用了开源软件。不过正如2021年底爆发的Log4j事件对整个软件供应链造成的影响，开源安全问题仍然充满挑战。通过SCA (Software Composition Analysis, 软件成分分析) 工具，可帮助企业构建准确的 SBOM (Software bill of materials, 软件物料清单)，提供清晰的软件成分可视性分析，降低和管理应用或容器中因使用开源软件和其他第三方代码（软件）引入的安全、质量与许可证合规性风险。

在软件开发过程中，企业将不可避免的直接或间接引入开源软件。如在开发阶段由开发人员引入的代码片段，通过Maven等常用的包管理器引入的依赖等，正是由于开源软件可能通过多种不同形式引入代码库，这就要求SCA工具必须具备不同的探测技术来准确识别在各种场景下引入代码库中的开源软件。在这一点上，清源SCA充分覆盖所有的引入场景：

1.  多维度的探测技术

清源 SCA可进行代码片段识别、文件识别、组件识别、依赖识别和容器镜像扫描。通过多种行业领先的算法打造出安全、合规、高效、易用的软件成分分析系统，为企业梳理研发过程中的软件物料清单，提供强大的技术支持。

SCA工具的挑战之一是如何完整、准确的识别出产品中所引入的开源组件，除了多维度的探测技术和匹配算法外，同时必须有一个强大的数据库，在此基础上，关联组件版本的许可证、漏洞、加密算法等其他特征数据。

2.  强大的数据库

清源SCA拥有海量数据储备，其中包含24万漏洞数据、1亿7千万的组件信息、3万亿行开源代码、2,000多种许可证类型、1000亿文件特征信息等，检测范围覆盖各大开源组件仓库。清源SCA庞大的数据库为准确识别开源组件提供强大的支撑，保证组件识别的完整性。同时，清源SCA的专家团队不断优化数据库匹配算法的效率和性能，保证持续更新和积累。

随着近年DevOps的应用与发展，SCA工具作为工具链当中的一环，集成与接入能力显得尤为重要；其次，作为一款成熟的企业级的SCA工具，必须经过大型企业的落地实践检验，产品性能需要满足大型企业的高标准的要求，工具绝不能成为影响研发效率的卡点。通常大型企业的业务场景、组织架构比较复杂，所以一款企业级SCA工具必须具备负载均衡等灵活的方式来满足企业复杂的需求场景。

3.  企业级的解决方案

清源SCA作为一款已在大型互联网企业落地实践的SCA工具，具备以下特点：

• 安全与合规并重

• 高并发

• 可扩展性

• 数据隔离

• 支持大型项目（>5GB、多语言）扫描

清源(CleanSource) SCA凭借突出的产品性能，可通过负载均衡等方式满足高并发的需求。同具有极强的可扩展性、可满足数据隔离，来达到资源的合理分配和最大化利用。

为满足企业的数据安全合规需求，清源SCA同时支持私有云和公有云部署。作为一款软件成分分析的工具，在提供本地部署的同时兼顾数据库快速、高效更新。

4.  灵活的部署和更新

清源SCA引擎和KB库均支持本地部署，支持扫描、代码比对等全部离线扫描分析能力，扫描过程无需连接外网；并且代码进行不可逆加密后识别，无代码泄露风险。KB库支持增量更新，多种方式满足客户在不影响业务的前提下快速、高效的完成更新。

多维度的探测技术、强大的数据库、企业级的解决方案以及灵活的部署和更新方式构成了清源SCA的强大产品优势，同时，此次在腾讯的成功部署，体现了安势信息对大型企业强大的技术支持能力。

作为开源领域的"资深玩家"，腾讯很早就开始接触和使用SCA工具来推动内部开源安全和合规治理。面对规模愈趋庞大、复杂的开源组件，一款兼具扫描准确与高性能的企业级SCA工具显得尤为重要。清源(CleanSource) SCA工具，经过多轮PoC测试，从众多国内外竞品中脱颖而出，满足了腾讯对SCA工具的高标准要求：扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面，达到提升内部安全与合规管控的目的。

随着国家数字化转型不断加速和开源产业的持续发展，多项发布的政策把开源上升到国家政策层面，肯定了开源模式对信息技术创新和软件产业发展的重要性。同时，频繁的开源软件安全漏洞使开源软件的安全与合规风险受到空前重视，安势信息十分肯定SCA软件成分分析技术将得到更加广泛的应用。未来，安势信息会继续加大对产品研发的投入，不断进行技术创新，助力提升中国软件供应链安全。