“开源的本质是群智创新!”
本文字数4122,建议阅读时间8分钟。
前文摘要
近日,由中国通信标准化协会主办,中国信息通信研究院承办的“2024 OSCAR开源产业大会”在北京召开。会上,中国信通院云大所正式揭晓2024年OSCAR尖峰开源人物评选结果,悬镜安全创始人兼CEO子芽被授予OSCAR尖峰开源人物。
评选标准:开源人物为了鼓励个人和企业参与开源、贡献开源,更好地加速开源技术在中国市场的落地,旨在保障在开源行业具有较大影响力、致力于开源技术的落地的个人。
人物介绍:子芽,悬镜安全创始人兼CEO,OpenSCA开源社区创始人、北京信创工委会副理事长、2022年北京市“海英人才”、中国信通院软件供应链安全社区首席专家、国家工业信息安全发展研究中心开源软件供应链安全实验室学术专家组成员、关保联盟团体标准委员会委员、2022-2024 年度软件供应链安全领域产业创新开拓者、腾讯云TVP技术专家。
打造全球首个开源数字供应链安全
社区:OpenSCA开源社区
子芽:AI智能时代,软件定义万物,数字技术已逐渐成为支撑社会正常运转的最基本元素之一。随着软件开发过程中开源应用的日趋普及和大范围应用,开源应用事实上逐渐成为了数字技术开发的核心基础设施,混源开发也已成为主流的数字应用开发交付方式,数字供应链的安全问题也已被上升到基础设施安全和国家安全的高度来对待。数字应用开源化,导致数字供应链的各个环节都不可避免受到开源应用风险的影响,尤其是开源应用的安全性问题,将直接影响采用开源应用的相应数字供应链的安全。
OpenSCA是SCA技术原理的开源实现。作为悬镜安全旗下的开源版本,OpenSCA 继承了源鉴 SCA 的多源 SCA 开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,保障应用开源组件引入的安全。
不同于传统企业版 SCA 工具,OpenSCA 为治理开源风险提供了充满可能性的开源解决方案。它轻量易用、能力完整,支持漏洞库、私服库等自主配置,覆盖IDE/命令行/云平台、离线/在线等多种使用场景,可灵活地接入开发流程,为企业、组织及个人用户输出透明化的组件资产及风险清单。
围绕 OpenSCA搭建起了聚集上万开源项目维护者和使用者的全球极客开源数字供应链安全社区,社区涵盖信息通信、泛互联网、车联网、金融、能源等众多行业用户,为万千中国数字安全实践者们构筑起交流的平台与创新的基地。
定义新一代SBOM标准,提出国内
首个数字供应链格式DSDX
子芽:在全球化的数字经济背景下,开源软件供应链的安全问题日益凸显,特别是在软件物料清单(SBOM)的标准化和应用方面。凭借我们在开源安全领域的深厚积累和前瞻性视野,洞察到了国内外在开源安全供应链SBOM格式上的差距。面对国际SBOM格式主要由国外机构控制的局面,我们意识到中国亟需发展自己的SBOM格式,以保障国家在数字供应链安全领域的自主可控。
数字时代,万物可编程,数字技术已是新一代信息技术的灵魂,正通过云服务、托管服务等方式颠覆着传统产品供应关系,成为数字经济发展的基础设施。随着软件供应链正向数字供应链跃迁式演进,数字供应链安全涵盖了数字应用安全、基础设施服务安全以及供应链数据安全。
以数字供应链安全全流程治理与运营的视角,“供应链引入、生产链、供应链交付运营”是数字供应链安全的三大环节。
SBOM(Software Bill of Materials,软件物料清单)作为建立数字供应链的安全基线,是数字供应链安全的核心关键部分,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用,为企业用户提供了一个明确、统一的视角,在复杂的数字供应链中实现更高的透明度和可信度,从而满足安全性和合规性的要求。
为此,由OpenSCA社区主导发起、汇聚开源中国、电信研究院、中兴通讯等权威机构和企业,共同发起并发布了中国首个数字供应链SBOM格式——DSDX(Digital Supply-chain Data Exchange)。DSDX格式的推出,不仅填补了国内在该领域的空白,更是对国际SBOM标准的有力补充。DSDX格式针对性适配中国企业实战化应用实践场景,同时兼容SPDX、CycloneD、SWID国际标准和国内标准。DSDX旨在制定一套数字供应链数据交换标准,以帮助企业建立一个可读性高、且方便工具处理的数字化应用物料清单的元数据。
DSDX基本信息:
DSDX规范文档由基本信息、项目信息、对象信息、代码片段信息及依赖信息这几部分构成。
DSDX字段详情涵盖了SBOM 清单信息、项目基本信息、组件信息、代码文件信息、代码片段信息、依赖树信息、备注信息,其中DSDX重点引入了运行环境信息、创建阶段和供应链流转信息,加强了清单间的互相引用,并以最小集/扩展集的形式增强了SBOM应用的灵活性,深度支持代码片段信息的存储及追踪,为企业用户提供整个数字供应链基础设施视角的落地治理实践。
基于原创专利级“代码疫苗”技术
实现SDLC闭环全栈能力覆盖
子芽:随着数字化转型进入深水区,容器、中间件、微服务及DevOps等新兴技术的广泛应用使得数字供应链安全变得愈加复杂,全链路安全防护面临着前所未有的挑战。在这个背景下,经过我们近十年的不懈努力,攻克了一个又一个难关,在业界率先定义了“代码疫苗”技术,并成功将其应用于数字供应链的积极防御体系中。
代码疫苗技术旨将智能风险检测和积极防御逻辑注入到运行时的数字应用中,如同疫苗一般与应用载体融为一体,赋予应用自我保护的能力,实现应用对潜在风险的自发现和对未知威胁的自免疫。代码疫苗技术基于插桩技术实现,统一融合了IAST、SCA、RASP、DRA、API分析和APM监控等多种能力,通过一个单探针即可全面应对应用长期面临的安全漏洞、数据泄漏、运行异常和0Day攻击等多种风险。该技术不仅减轻了多探针运维的压力,还在应用中植入了安全的“疫苗”,实现并推动应用与安全的共生。
作为代码疫苗技术的核心,函数级单探针植入在应用内存上下文之中,既能够在软件开发测试环节里通过IAST对软件安全风险进行智能检测,精准定位API安全风险和缺陷,有效解决运行时API中敏感数据流动的追踪问题,又能够在软件部署和运营环节通过RASP实现应用风险自免疫,提供闭环的数字供应链安全检测与防御能力。
目前,该项代码疫苗技术已在金融、车联网、泛互联网、智能制造、通信和能源等多个行业得到广泛应用与落地实践,产生了显著的经济和社会效益,并凭借其相关原创发明专利技术获得了来自科技部、北京市科委、工信部等权威机构的高度认可。
增长赋能:开源供应链安全情报+
实现重点企业级用户全面赋能
子芽:随着全球信息化的加剧和互联网的普及,开源供应链变得越来越复杂和庞大。软件产品不再是由单一的组织或公司独立开发,而是通过开源供应链网络协同开发、合作共赢。开源供应链中的每一个环节都可能存在安全隐患,例如供应商管理、源代码及三方开源组件安全、供应链风险管理等。这些安全威胁不仅会影响软件产品的质量和可靠性,还会对用户的隐私和安全造成极大的威胁。
云脉XSBOM数字供应链安全情报预警平台依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力,对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析,为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务,帮助用户更快更轻松应对各种风险,智能精准预警“与我有关”的数字供应链安全情报。
悬镜XSBOM数字供应链安全情报预警融合了超100类渠道数据,并结合策略、AI、专家体系化运营以及风险评级模型,实现了情报的快准全,帮助企业在安全开发、运维、采购、分发各个阶段提供情报数据解决方案。数字供应链安全情报核心覆盖组件基础情报、组件投毒情报、漏洞风险情报等。
我们将以供应链威胁情报和OpenSCA开源社区为抓手,以运营平台为支撑,提供覆盖从SCA组件级资产测绘、IAST交互式安全测试、SAST静态代码审计、RASP应用自防御的SaaS订阅服务,通过免费+增值方式全面赋能重点企业级用户。
四大典型场景应用:
第三代数字供应链安全管理体系
子芽:根据Sonatype公司2024年关于供应链攻击演化的报告,自2019年以来,供应链攻击平均每年增加742%。新思科技的分析显示,开源代码库中84%包含安全漏洞,且74%为高危漏洞,数字供应链是当前最大的未解决安全攻击面问题。供应链安全治理面临多重挑战:一是漏洞难于发现,传统的漏洞检测工具误报率和漏报率高;二是无法有效抵御供应链带来的未知攻击,风险不可控;三是产生漏洞的组件成分不清楚,无法有效发现隐患。四是供应链涉及范围广、内容多,安全管理复杂。
我们以代码疫苗技术为核心,以积极防御框架为实战驱动,以运行时轻量级单探针为应用载体,构筑了原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系。在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下,为用户构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。目前,已经帮助数千行业用户构建安全、高效、智能的数字应用。方案的首创性与应用性屡获权威机构的高度认可,先后被工业和信息化部网络安全产业发展中心、中国信通院、信创工委会、证券基金行业信息技术应用创新联盟等组织机构评为优秀解决方案。
数字供应链安全涉及面广,涵盖软件开发、交付、维护过程中的多种数字化工具和平台,包含了软件供应链的内涵,还包含了供应链数据和平台基础设施。近年来,数字供应链安全事件频发,产生重大影响,保障数字供应链安全已成为业界共同目标。
在数字供应链的四个关键管理阶段:引入、生产、交付和运营环节分别采用不同的风险治理措施,以确保覆盖全生命周期的数字供应链安全。
基于第三代DevSecOps数字供应链安全管理体系的落地实践,将为用户建立数字供应链全生命周期的安全管理,健全数字供应链安全综合防护体系,确保安全运营工作可管、可控、可审计,从而最大限度降低数字供应链安全风险,落实数字供应链安全防护主体责任。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队”XMIRROR”,作为数字供应链安全和DevSecOps敏捷安全开拓者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。