泛联新安受邀参加2022中国互联网大会 UniSCA软件供应链管理平台正式上线
2022-11-18由工业和信息化部、深圳市人民政府主办,中国互联网协会、广东省通信管理局、深圳市工业和信息化局等单位承办的2022(第二十一届)中国互联网大会于2022年11月15-17日在深圳国际会展中心举办,大会主题为“发展数字经济 促进数字文明”。泛联新安受邀参加,并出席“互联网创新和知识产权保护论坛”做主题演讲。
“互联网创新和知识产权保护论坛”作为本届中国互联网大会的分论坛之一,由中国信息通信研究院、中国互联网协会知识产权工作委员会等单位合办,聚焦当前互联网领域创新热点、竞争态势、开源治理以及知识产权保护的现状和问题,为促进互联网企业自律、保障互联网领域公平竞争,营造知识产权保护新态势,搭建全方位的沟通交流和成果展示平台。
泛联新安在会上做了名为《软件供应链风险及开源软件治理技术》的主题演讲,并隆重宣布UniSCA软件供应链安全管理平台正式上线。
目前,混源开发已成为全球软件研发的主流模式,在软件开发与使用的过程中,开源组件复用情况广泛存在。据研究表明,在商业软件的代码库中,已有高达96%的软件引入了开源组件。在开源代码和开源组件广泛使用的今天,开源漏洞攻击逐年递增、安全合规问题频发。这给企业软件供应链引入了开源漏洞、知识产权许可、政府出口管制三大风险。
现在软件供应链风险管控面临两大严峻挑战:一是只检测不修复,二是缺乏全面的软件供应链安全管理能力。由于缺乏自动化分析方法和分析工具,所以检测准确率、检测效率、信息利用率都较低。
当前市场上的软件成分分析(SCA)工具普遍数据垂直细分专业度不足,且往往都是依赖分析套壳使用,很难从软件供应链的整体流程角度把控安全风险。
为了应对上述挑战,泛联新安自主研发了拥有完全自主知识产权的软件成分分析(SCA)产品——UniSCA软件供应链安全管理平台,并已应用于多维场景中,包含金融机构、政府部门、能源行业等各个领域。尤其在开源软件漏洞扫描、许可证合规检测、代码审计、台账管理、开源组件准入退出等功能方面,可帮助政企及个人用户实现安全左移,提升自身的开源安全能力。在规避开源风险的前提下,无感化集成至原有的CICD管道,避免“安全增压”的出现,不影响企业兼容系统的高效性与可靠性。
UniSCA 基于大数据与人工智能技术,致力于保证开源组件、自研组件、商用组件的使用安全与合规管理。同时,UniSCA已集成二进制Bingem分析引擎,可实现自动化二进制同源分析。目前Bingem引擎的逆向分析、跨编译和跨架构的同源识别能力已经取得了技术性突破进展,功能达到业界一流水平。
UniSCA通过项目管理、资产管理、人员管理、组件使用台帐、制品仓出入库等功能,能将供应链安全贯穿从项目立项,开发阶段到发布上线整个SDLC全流程。
最后,UniSCA可从内控和外防两方面助力软件供应链安全。内控方面,UniSCA支持软件资产管理,实时监控所有软件的迭代部署、帮助企业梳理软件资产。通过项目审核审批机制,梳理与建立开源台账。同时对于开源组件引入退出机制做了明确的质量阀管理,提供制品库管理与组件黑白名单,减少冗余并消除误报,使用户能够专注于重要事件。
外防方面,UniSCA支持SPDX格式SBOM的导入与导出,同时具备完善的安全风险预警,可对漏洞安全与断供风险进行实时监测和预警,从源头把控软件供应链安全风险,降低修复成本,增强企业软件供应链的强度及韧性。
开发者和企业可以通过UniSCA全方位多维度深层次的构建软件供应链安全屏障,增加开源组件和项目的可利用性,减少潜在的安全合规风险。