近日,由中国信息通信研究院主办的“中国信通院ICT深度观察报告会——开源和软件供应链论坛”在京召开。会上,中国信通院重磅发布了可信开源与可信安全系列评估结果,京东云提报的“SSCM软件供应链管理工具”成为下半年度唯一通过“SBOM可信软件物料清单总体能力要求评估”的项目。
企业在面对软件供应链管理时,常常会遇到“理不清、看不见、找不到”的痛点:首先,企业不清楚在系统中使用了多少第三方软件和组件,第三方组件通常又会依赖其它更多组件,多级依赖使整个组件结构非常复杂,难以理清;其次,企业使用第三方组件时,即使是已产生过安全漏洞和知识产权风险的“老组件”,也无法及时“看见”风险漏洞并处理;第三,企业在第三方组件出现漏洞时,无法快速定位受影响的组件,评估影响范围。
基于此,京东云打造了基于SBOM的软件供应链管理工具SSCM软件,以全面、准确和实时的软件成分分析能力,为软件供应链做“全身体检”,快速“靶向”修复漏洞,规避合规风险,进而确保软件供应链的安全。
具体来说,SSCM软件供应链管理工具可基于开源组件信息库遴选优质组件,审核和引入新的组件;同时,工具可清晰记录应用及环境所使用的组件版本,进行版本控制并追踪其变更。通过反向追溯软件,该工具可迅速确定漏洞的影响范围,快速修复或替换。
在软件采购和资产管理方面,SSCM软件供应链管理工具可以扫描外采软件成分,评估质量、安全性和合规性,确保符合组织要求,精准管理软件资产。
值得一提的是,在法律合规专家的支持下,软件已将业内余种开源协议解析,给非法律专业的开发者以更明确、简易、安全的指导,让开源协议与使用场景一一对应成为可能。目前,这一法律合规与技术的“结合体”已在京东内部多个技术团队中广泛应用。基于京东内部实践,SSCM软件供应链管理工具成熟稳定,开箱即用,不依赖其他基础设施即可快速帮助技术团队搭建软件供应链安全的基本能力。
近年来,以Log4j和SolarWinds等为代表的软件供应链安全事件频发,进一步推动了业界对于软件物料清单的
转载请注明:http://www.0431gb208.com/sjszlff/8953.html
