Loading...

为什么要关注开源安全

开源软件是构建现代应用软件的重要组成,开源软件为开发人员提供了大量现成、可用功能,帮助开发团队更快、更有效地实现产品研发。尽管软件行业对开源严重依赖,但软件行业在安全问题方面普遍松懈,公开的开源漏洞信息提高了黑客大规模破坏的潜力,使用已知漏洞的开源软件就会成为应用软件中的定时炸弹;开源软件使用过程中由于对于许可证认识不足,使得企业存在潜在的侵权风险。

开源治理的挑战

软件成分未知性

在软件开发行业中企业往往低估了产品中使用开源的数量,对引入含已知漏洞的开源软件不自知;同时,企业对开源组件手动跟踪过程中通常不包括传递依赖,缺少对开源组件的可见性。

开源漏洞分散性

开源漏洞信息往往分散在多个资源中不易搜索,企业无法将分散在各社区、托管平台中的已知漏洞与企业软件手动匹配关联。

开源许可证复杂性

开源许可证是具有法律约束力的合同,软件开发中往往会引用多个许可证,每个许可证的复杂性和需求各不相同,因此,需要企业选择符合公司策略并且和现有软件最兼容的开源,避免知识产权侵权风险。

我们能提供什么

自动化的软件组成分析SCA(Software Composition Analysis)工具,帮助用户更好的使用和管理开源安全体系。SCA工具分为两大类:开源安全治理工具FossCheck和左移开发安全工具FossEye。

FossCheck 开源安全治理工具

适用人群 企业管理/安全部门、测评机构、科研机构、高等院校等。
特点 提供可见可控的检测报告,为管理提供数据支撑依据,包括:软件成分分析/溯源、软件开源安全漏洞分析、软件开源许可证分析,提供漏洞的修复建议等。

FossEye 左移开发安全工具

适用人群 敏捷开发/流水线/企业管理。
特点 适应敏捷开发和流水线,与CI/CD无缝集成,支持规则策略管理和企业开源资产管理,实现开源组件安全性与合规性的自动化治理。

数据能力

0
W+
OPEN SOURCE PROJECT
开源项目
0
W+
COMPONENT LIBRARY
组件数
0
W+
SECURITY HOLE
安全漏洞数
0
+
LICENSES
许可证
0
LANGUAGE
支持语言
0
Code detection fine-grained
代码检测细粒度

典型应用

软件“自主可控”分析

针对国家“自主可控”的信息安全要求,FossCheck为用户提供软件代码自主率检测服务,分析软件代码的开源成分、安全风险和知识产权等方面的信息,帮助企业实现“自主可控”信息安全要求。

企业并购审计和项目验收

在企业并购审计和科技项目验收中,为评价相关产品或者项目的科技成果提供数据支持。FossCheck软件源代码开源成分与安全检测平台通过识别其中的自主研发和克隆成分,为相关审计验收提供客观的决策支持。

软件供应链安全合规管控

企业在委托第三方开发时,对外部代码认知不足,FossCheck能对外部代码的安全性和合规性分析,及时发现外部代码的安全性风险和开源许可证的合规性风险,帮助企业有效管控外部供应商。

研发安全与智能运维

基于“左移安全”与DevSecOps的安全理念,FossEye在软件生命周期中提供自动化的安全分析、策略执行、持续集成,受到新漏洞的威胁,实时的发出警报,帮助企业及时更新版本或者修复漏洞,实现研发安全与智能运维。

公司荣誉

  • 首批可信开源治理工具

  • ISO9001管理体系和ISO27001信息安全管理体系

  • IT安全认证成品

  • 多项发明专利

  • 多项软件著作

  • 高新技术企业证书

合作伙伴