2023年9月14日,華為云正式發(fā)布CodeArts Governance開源治理服務��。這是一款針對軟件研發(fā)提供的一站式開源軟件治理服務,將華為在開源治理上的實踐及經(jīng)驗和能力逐步固化在華為云服務上,助力企業(yè)更加安全、更加高效的使用開源軟件���。
2023年9月14日,華為云正式發(fā)布CodeArts Governance開源治理服務�����。這是一款針對軟件研發(fā)提供的一站式開源軟件治理服務�,將華為在開源治理上的實踐及經(jīng)驗和能力逐步固化在華為云服務上,助力企業(yè)更加安全���、更加高效的使用開源軟件�����。
開源軟件的使用在當前軟件開發(fā)過程中已經(jīng)成為不可或缺的一部分��,根據(jù)最近的一項調查報告顯示���,全球超過90%的企業(yè)在其軟件開發(fā)過程中使用了開源軟件�����。
雖然企業(yè)使用開源軟件在創(chuàng)新共享��、靈活定制甚至成本效益等方面擁有優(yōu)勢,但開源軟件自身安全狀況持續(xù)下滑�����,開源軟件的供應鏈也攻擊不斷�����。因此�,使用開源軟件時,企業(yè)需要關注如下三個維度的風險:
合法合規(guī)風險
開源軟件的使用可能涉及到法律和合規(guī)方面的風險。例如��,某些開源許可證可能要求將軟件的源代碼公開發(fā)布�,而如果企業(yè)沒有遵守這些許可證的條款,則會面臨法律糾紛和版權問題���。
此外���,開源軟件可能依賴于其他開源軟件或專有軟件,如果未獲得適當?shù)脑S可證或合規(guī)性認證���,可能會面臨侵權和法律責任���。
網(wǎng)絡安全風險
由于其開放的特性,開源軟件可能容易受到黑客攻擊和惡意代碼注入����。惡意用戶可以利用開源軟件中的漏洞或弱點來入侵系統(tǒng)、竊取數(shù)據(jù)或進行其他攻擊行為��。
Log4j2是一個開源的Java日志框架�,被廣泛用于Java應用程序的日志記錄和管理。2021年12月Log4j2被爆出遠程代碼執(zhí)行漏洞���,該漏洞被安全專家稱為史“史詩級”漏洞�����,波及全球6萬+開源軟件�����,影響70%以上的企業(yè)線上業(yè)務系統(tǒng)���。
供應安全風險
由于開源軟件通常是通過社區(qū)合作開發(fā)����,因此可能存在質量不一致��、缺乏有責任感的維護者或過度依賴個別貢獻者的情況���。又或是已使用的開源軟件不繼續(xù)演進和維護,開源軟件的更新和支持受到限制或延遲�,導致軟件在長期使用中出現(xiàn)問題或安全漏洞無法及時修復。
為了應對這些風險���,華為云開源治理服務CodeArts Governance將提供全面的解決方案��。
此次�����,華為云率先推出二級制成分分析特性��,通過如下優(yōu)勢特性�����,助力企業(yè)應對開源風險:
特性1:無源碼��,無侵入快速檢測
基于二進制的成分分析��,無需用戶提供源代碼�����,只需上傳產(chǎn)品發(fā)布包或固件�,通過服務的靜態(tài)分析及特征檢測技術,無需構建運行環(huán)境或運行程序即可快速分析產(chǎn)品二進制軟件包中包含的開源軟件及漏洞清單����。
特性2:全面的檢測能力,安全及合規(guī)問題全防護
License合規(guī)性檢測:通過評估開源軟件許可證的合規(guī)性�,服務可以檢測出是否存在使用違反許可證規(guī)定的軟件�,并幫助企業(yè)遵守合規(guī)要求����,避免潛在的版權侵權和法律糾紛。
開源軟件漏洞掃描:通過服務自動掃描和識別軟件中存在的開源軟件漏洞���,并提供詳細的漏洞報告和修復建議����,幫助客戶及時修復漏洞�����,減少被黑客利用的風險�����;
安全配置及敏感信息泄露檢測:支持識別制品包中硬編碼密碼�、硬編碼密鑰、弱口令�、密碼復雜度、證書文件等20余種場景����,保護用戶的敏感數(shù)據(jù)不被泄露;
惡意代碼檢測:內(nèi)置先進的開源軟件惡意代碼檢測引擎�����,結合AI等相關檢測技術��,覆蓋惡意命令執(zhí)行����、反彈Shell、混淆加密代碼等十余種典型的惡意行為��,檢測準確率大于95%���,優(yōu)于同類工具�。企業(yè)在開源軟件引用前掃描��,可幫助企業(yè)及時發(fā)現(xiàn)開源軟件中的惡意代碼�,避免惡意威脅流入產(chǎn)品軟件;若在版本軟件發(fā)布前掃描�,可幫助企業(yè)攔截惡意代碼,避免惡意代碼流入生產(chǎn)環(huán)境���,解決企業(yè)供應安全風險�。
特性3:多語言,多文件格式���,多架構平臺
華為云CodeArts Governance二進制的成分分析服務具備超強的兼容性��,為用戶帶來更高的靈活性���、便利性和可擴展性。服務支持多種語言編譯構建����,在多種操作系統(tǒng)或多種CPU架構下生成的二進制文件;同時支持40多種文件系統(tǒng)或文件格式��,覆蓋主流軟件應用場景���,確保軟件在不同環(huán)境中的安全性��,減少切換和兼容性問題���,提高檢測效率。
華為云CodeArts Governance將持續(xù)提供更多優(yōu)秀的實踐能力��,如源碼成分分析、開源元數(shù)據(jù)管理�、軟件信息樹等,為用戶提供全量開源軟件資產(chǎn)可視化管理能力�,幫助用戶更輕松的進行開源軟件及漏洞管理����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號
