OSCAR云计算开源产业大会 | 悬镜源鉴OSS荣获2020年可信开源治理工具评估证书 – 作者:悬镜安全实验室

2020年10月16日，由中国信息通信研究院（以下简称“中国信通院”）主办的“OSCAR云计算开源产业大会”在线上盛大开幕，大会云集百位开源领域技术专家，汇聚国内千万企业目光。会上正式公开2020年可信开源评估结果，并为通过评估的企业颁发了评估证书。

OSCAR开源评估是中国信通院针对开源现状启动的评估工作，旨在为企业构建开源治理体系时提供可信参考。悬镜源鉴开源威胁管控平台荣获2020年可信开源治理工具评估证书，悬镜产品能力得到了行业专家的高度认可，技术能力达到了行业领先水平！

悬镜源鉴OSS开源威胁管控平台基于多源SCA开源应用安全缺陷检测技术，结合悬镜安全独有的应用探针，准确地识别应用在被执行的过程中调用的第三方组件风险。 

如今，在研发效率的考量下，几乎所有的软件应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是：开源组件风险的爆发。根据行业公司的调查报告，应用中平均使用了283的开源库，超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。

源鉴OSS的主要特征：

01深度流程融合，加速安全开发

源鉴OSS可以与DevOps流程无缝结合，在流水线的相应阶段自动发现应用程序中的开源组件，提供关键的版本控制和使用信息，并在DevOps的任何阶段检测到漏洞风险和策略风险时触发警报。所有这些信息都通过安全和开发团队的所使用的平台工具实时发送，从而实现了及时的反馈循环和快速行动。

02运行态分析验证，重要事务优先

源鉴OSS依靠独有的IAST运行时插桩技术，通过成分分析、依赖分析、特征分析、引用识别等多种技术组合能够精确识别软件中的开源组件漏洞信息，并进一步确认漏洞的真实有效性，使开发人员避免面对数量巨大的误报和无法利用的漏洞，帮助他们区分优先级，将有限的修复精力集中在真正重要的漏洞上。

03云端情报监控，实时预警风险

源鉴OSS帮您管理应用程序中所使用的全部第三方组件的安全态势。通过在云端的“悬镜大脑”监控众多开源软件漏洞情报来源，通过清洗、匹配、关联等一系列自动化数据分析处理后，向源鉴OSS及时推送开源软件风险信息。让用户及时获取影响其安全的最新开源软件漏洞和许可证风险情报信息。

04完全自主可控，满足监管要求

源鉴OSS是成熟的开源软件成分分析信息化应用创新产品，技术完全自主研发，安全可控。同时，源鉴OSS的漏洞信息兼容国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD），支持各种合规性检测场景，满足国内行业监管法规要求。

开源促进了产业的繁荣发展，同时也存在许多安全挑战，悬镜将持续从应用源头做威胁治理，构筑新一代敏捷安全，助力企业业务安全高效发展！

来源：freebuf.com 2020-11-06 16:05:25 by: 悬镜安全实验室