京东云开源软件治理工具SSCM强势来袭!免费试用

京东云开发者
• 阅读 27

开源软件是数字时代研发创新和效率的引擎

•开源软件占所使用的所有软件的70%,是支持企业转型的创新生态系统不可或缺的部分。

•根据奇安信的2023中国软件供应链安全分析报告,被分析的2631个国内企业软件项目中,100% 使用了开源软件,平均每个项目使用155个。

开源软件使用存在的风险

开源并不是“免费”,开源软件的使用,可能存在严重的组件安全漏洞、许可证合规、运维等风险。

•安全漏洞

开源组件和第三方依赖关系繁多且变化频繁,可能潜伏未知的安全漏洞,给企业和组织带来潜在风险

•许可证风险

组件和依赖的使用,可能受到各种许可证的限制,从而导致法律纠纷、代码被迫开源等问题。

•运维风险

研发所选用的低质量开源组件,可能更新频率低甚至停止维护,带来质量和维护问题。

SBOM概念

SBOM(Software Bill of Materials)是一种清单或记录,用于描述软件产品的构成要素,类似物理产品的配料清单,详细列出软件中所包含的所有组件、相关许可证协议的清单,以及所有组件之间依赖关系的描述。

SBOM提供了可见性,帮助用户精准掌控开源软件版本、依赖以及许可证信息,是开源治理的有效抓手。

京东云星光SSCM开源软件治理工具

京东云星光SSCM(Software Supply Chain Management),是基于SBOM的开源软件治理工具。它源自京东开源组件管理、安全合规及知识产权保护的实践探索,提供全面、准确和实时的软件物料清单采集与分析能力,打造企业级标准化软件成分信息库,并集成组件漏洞库和许可证库,赋能组织高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

产品目标

高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

产品功能

•软件成分分析

识别软件所有开源组件、版本及依赖关系,镜像Layers,产生软件开源漏洞和许可证风险评估报告,按需生成各种格式SBOM文件。

•软件资产管理

建立包含开源台账的软件资产库,见人之所未见,实现对资产进行精细化管理,并能够加入筛选规则,进而规范开源组件的使用流程。

•组件反向溯源

建立反向溯源关系,定位指定版本的组件被组织内软件所使用情况,当出现安全漏洞时,能够精准锁定受影响的软件范围,快速响应。

•开源漏洞管理

提供完善的组织组件漏洞库,并实时同步权威漏洞信息,同时支持漏洞的检索和查看,追溯受影响的软件包,并提供修复建议。

•许可证管理

提供完整的开源许可证库,落地京东集团开源软件合规使用规范,内嵌京东法律合规团队对百种以上常见开源许可证的应用建议。

•在线工具

SBOM验证工具检验SBOM文件是否被篡改,保证一致性与安全性;SBOM格式转换工具提供SBOM文件多种标准的转换能力。

•工具集成

与CI/CD集成自动采集SBOM信息并提前预警风险,与制品库集成规范开源组件的引入,与信息安全管理工具集成快速响应漏洞。

应用场景

•开源组件选用

基于开源组件信息库遴选优质组件,审核及引入新的组件

•安全开发

尽早发现和解决安全风险,实现安全左移,阻断隐含高危安全风险的应用上线

•漏洞应急响应

通过反向追溯软件,迅速确定漏洞的影响范围,快速修复或替换

•软件采购

扫描外采软件成分以评估其质量、安全性及合规性,确保符合组织要求

•软件资产管理

有效管理软件资产,包括软件和组件的版本、依赖关系和安全状况等

•审计及知识产权

软件资产审计,安全审计,许可证合规审计及保护知识产权

产品价值

•提高质量与安全

平台赋能开发者选择高质量的组件,并能够有效跟踪组件的来源、版本和依赖关系,快速定位并解决漏洞,确保组件的质量,保障组织安全。

•提高效率

平台赋能研发团队快速发现可信的组件,便利地使用组件,同时能够精准地定位组件漏洞,从而提升软件架构设计、编码,以及解决问题的效率。

•降低风险

平台提供精细和动态的开源组件、漏洞及许可证信息,赋能安全合规人员高效的合规审计和快速的漏洞修复,降低安全合规风险。

•降低成本

平台的使用,既能大大降低软件交付全生命周期中使用和维护组件的成本,又有效减少研发组织管理组件及修复组件漏洞的成本。





京东云开源软件治理工具SSCM强势来袭!免费试用



免费试用,扫一扫

点赞
收藏
评论区
推荐文章
可莉 可莉
2年前
11 个 Git 面试题
源自:https://mp.weixin.qq.com/s/ghF27N0XjgG0pw2XpGDCYA在今年的StackOverflow开发者调查报告中,超过70%的开发者使用Git,使其成为世界上使用人数最多的版本控制系统。Git通常用于开源和商业软件开发,对个人、团队和企业都颇有益处。Q1:什么是Git复刻(fork
Stella981 Stella981
2年前
Jenkins+Git+Maven+Tomcat持续集成教程
关注“Java后端技术栈”回复“面试”获取最新资料回复“加群”邀您进技术交流群Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使软件的持续集成变得可能。现在软件开发追求的是效率以及质量,Jenkins使得自动化成为可能!亮点1.采用shell自定义
Stella981 Stella981
2年前
DevOps 安全威胁,你值得关注!
随着开源软件被大量引用,线上运行的代码中超过80%的部分是开源代码。软件安全的重点已经从内部代码转移到所引用开源部分上。DevOps安全需要关注内部研发团队的自研代码以及外部第三方开源软件的安全,对于内部代码,所使用的依赖必须清楚,如果底层依赖有风险,还必须快速反向分析哪些其他软件受到同样的威胁;目前DevOps安全团队和持续交付团队往往独立运行,信息交
Wesley13 Wesley13
2年前
2014年国人开发的最热门的开源软件TOP 100
不知道从什么时候开始,很多一说起国产好像就非常愤慨,其实大可不必。做开源中国六年有余,这六年时间国内的开源蓬勃发展,从一开始的使用到贡献,到推出自己很多的开源软件,而且还有很多软件被国外的认可。中国是开源不可忽视的力量。而我们这个榜单也是从这些国人开发、主要参与开发或者基于国外开源软件进行改进并形成独立版本的软件中,根据该软件的访问、收藏、下载等多个角度
Wesley13 Wesley13
2年前
GNU 对自由软件的定义:与免费无关
近年来,很多开源项目在商业化的过程中遇到了困难,抗议开源商业化的声音也一直存在。在很多对自由与开源软件不太了解的人眼中,开源软件免费软件——这其实是一个错误的观念。自由软件运动之父RichardStallman(RMS)曾在GNU章程中明确表示,自由软件是可以被售卖的。也就是说,自由与开源软件的商业化其实是一件非常合理的事情。
万界星空科技 万界星空科技
1个月前
快速部署MES源码/万界星空科技开源MES
什么是开源MES软件?开源MES软件是指源代码可以免费获取、修改和分发的MES软件。与传统的商业MES软件相比,开源MES软件具有更高的灵活性和可定制性。企业可以根据自身的需求对软件进行定制化开发,满足不同生产环境下的特定需求。开源MES软件的优势免费获取
天翼云发布云原生关系型数据库TeleDB for openGauss
近年来,开源软件强势崛起,从开源使用者到开源贡献者,中国的开源数据库产品,让数据库市场格局产生了新的变化。12月28日,openGauss开源社区在北京举办主题为”汇聚数据库创新力量逐梦数字时代星辰大海“的年度开源数据库技术峰会。中国电信天翼云首席专家侯圣文现场发布了运营商首个云原生关系型数据库TeleDBforopenGauss。目前,数字经济占我国
WEB系统安全之开源软件风险使用评估
中国信息通信研究院(ChinaAcademyofInformationandCommunicationsTechnology,以下简称“中国信通院”)在2021年举办的“OSCAR开源产业大会”上,发布了《开源生态白皮书》,在其中虽然没有专门阐述开源软件的风险如何防范,但是在其中说明了开源软件的风险和挑战,以及我国在开源治理上的经验。
邢德全 邢德全
4个月前
分享一套生产管理MES系统源码,可以直接拿来搞钱的好项目
开源软件不失为一条路子,国内很多中小企业最后选择了开源MES,大量的服务商围绕开源MES也做出了低成本的项目,收入也还可以。
E小媛同学 E小媛同学
4个月前
如何利用企业软件著作权查询API提升知识产权管理效率
在当今数字化时代,企业的知识产权管理变得愈发重要。其中,软件著作权作为企业重要的知识产权之一,其保护和管理对于企业的创新和竞争力至关重要。为了更高效地进行软件著作权管理,许多企业开始采用先进的技术手段,其中企业软件著作权查询API成为提升管理效率的一项关键工具。