在数字化转型的过程中,开源已覆盖软件开发的全域场景。据《2023中国软件供应链安全分析报告》,国内2631个企业软件项目中,100%使用了开源软件,平均每个项目高达155个。
面对如此庞大的开源生态,企业常常会遇到“理不清、看不见、找不到”的痛点:首先,企业不清楚在系统中使用了多少第三方软件和组件,第三方组件通常又会依赖其它更多组件,多级依赖使整个组件结构非常复杂,难以理清;其次,企业使用第三方组件时,即使是已产生过安全漏洞和知识产权风险的“老组件”,也无法及时“看见”风险漏洞并处理;第三,企业在第三方组件出现漏洞时,无法快速定位受影响的组件,评估影响范围。
基于此,京东云打造了基于SBOM的软件供应链管理工具“星光SSCM软件”,以全面、准确和实时的软件成分分析能力,为软件供应链做“全身体检”,确保软件供应链安全。
它源自京东开源组件管理、安全合规及知识产权保护的实践探索,提供全面、准确和实时的软件物料清单采集与分析能力,打造企业级标准化软件成分信息库。同时,通过集成组件漏洞库和许可证库,赋能组织高效地管理和使用开源软件,确保安全与合规,充分释放开源软件的潜力。
基于京东云星光SSCM平台的开源治理落地方案
目前,京东集团已经实现了SBOM-TOOL与京东行云的集成,实施了对部署应用的持续性扫描。该工具不仅生成了详尽的SBOM(软件物料清单),还精确分析了应用及其组件之间的依赖关系。通过深度分析,发现数百个开源组件存在高风险的传染性许可协议和安全漏洞。基于安全合规的要求,依据针对性的修复建议,受影响业务应完成漏洞修复。
凭借卓越的性能和行业贡献,京东云星光SSCM中使用的开源软件治理工具SBOM-TOOL荣获Gitee最有价值开源项目(GVP)。
Gitee作为国内知名的代码托管和协作开发平台,素有“国产GitHub”之称,吸引超过800万开发者,托管项目超过2000万,汇聚几乎所有本土原创开源项目,而目前被评为GVP的项目仅有392个(截至发稿前)。
面向未来,京东云愿与业内权威机构、企业携手共建安全、合规、健康、可持续的开源生态。
凡本网注明“来源:XXX(非中国财经消费)”的内容,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
如有侵权等问题,请及时联系本网,本网将在第一时间删除:gkjnet@qq.com