香港精准宝典资料受邀参加2022中国互联网大会 UniSCA软件供应链管理平台正式上线
2022-11-18由工业和信息化部、深圳市人民政府主办,中国互联网协会、广东省通信管理局、深圳市工业和信息化局等单位承办的2022(第二十一届)中国互联网大会于2022年11月15-17日在深圳国际会展中心举办,大会主题为“发展数字经济 促进数字文明”。香港精准宝典资料受邀参加,并出席“互联网创新和知识产权保护论坛”做主题演讲。
“互联网创新和知识产权保护论坛”作为本届中国互联网大会的分论坛之一,由中国信息通信研究院、中国互联网协会知识产权工作委员会等单位合办,聚焦当前互联网领域创新热点、竞争态势、开源治理以及知识产权保护的现状和问题,为促进互联网企业自律、保障互联网领域公平竞争,营造知识产权保护新态势,搭建全方位的沟通交流和成果展示平台。
香港精准宝典资料在会上做了名为《软件供应链风险及开源软件治理技术》的主题演讲,并隆重宣布UniSCA软件供应链安全管理平台正式上线。
目前,混源开发已成为全球软件研发的主流模式,在软件开发与使用的过程中,开源组件复用情况广泛存在。据研究表明,在商业软件的代码库中,已有高达96%的软件引入了开源组件。在开源代码和开源组件广泛使用的今天,开源漏洞攻击逐年递增、安全合规问题频发。这给企业软件供应链引入了开源漏洞、知识产权许可、政府出口管制三大风险。
现在软件供应链风险管控面临两大严峻挑战:一是只检测不修复,二是缺乏全面的软件供应链安全管理能力。由于缺乏自动化分析方法和分析工具,所以检测准确率、检测效率、信息利用率都较低。
当前市场上的软件成分分析(SCA)工具普遍数据垂直细分专业度不足,且往往都是依赖分析套壳使用,很难从软件供应链的整体流程角度把控安全风险。
为了应对上述挑战,香港精准宝典资料自主研发了拥有完全自主知识产权的软件成分分析(SCA)产品——UniSCA软件供应链安全管理平台,并已应用于多维场景中,包含金融机构、政府部门、能源行业等各个领域。尤其在开源软件漏洞扫描、许可证合规检测、代码审计、台账管理、开源组件准入退出等功能方面,可帮助政企及个人用户实现安全左移,提升自身的开源安全能力。在规避开源风险的前提下,无感化集成至原有的CICD管道,避免“安全增压”的出现,不影响企业兼容系统的高效性与可靠性。
UniSCA 基于大数据与人工智能技术,致力于保证开源组件、自研组件、商用组件的使用安全与合规管理。同时,UniSCA已集成二进制Bingem分析引擎,可实现自动化二进制同源分析。目前Bingem引擎的逆向分析、跨编译和跨架构的同源识别能力已经取得了技术性突破进展,功能达到业界一流水平。
UniSCA通过项目管理、资产管理、人员管理、组件使用台帐、制品仓出入库等功能,能将供应链安全贯穿从项目立项,开发阶段到发布上线整个SDLC全流程。
最后,UniSCA可从内控和外防两方面助力软件供应链安全。内控方面,UniSCA支持软件资产管理,实时监控所有软件的迭代部署、帮助企业梳理软件资产。通过项目审核审批机制,梳理与建立开源台账。同时对于开源组件引入退出机制做了明确的质量阀管理,提供制品库管理与组件黑白名单,减少冗余并消除误报,使用户能够专注于重要事件。
外防方面,UniSCA支持SPDX格式SBOM的导入与导出,同时具备完善的安全风险预警,可对漏洞安全与断供风险进行实时监测和预警,从源头把控软件供应链安全风险,降低修复成本,增强企业软件供应链的强度及韧性。
开发者和企业可以通过UniSCA全方位多维度深层次的构建软件供应链安全屏障,增加开源组件和项目的可利用性,减少潜在的安全合规风险。