12月30日，由懸鏡安全、OpenSCA聯(lián)合主辦的全球首款企業(yè)級OpenSCA技術開源發(fā)布會在北京泰富酒店如期舉行，以“線上聯(lián)動+線下交互”的模式同步進行。中國信息通訊研究院、中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟、國家信息技術安全研究中心、騰訊安全科恩實驗室、百度工程效能部效率云、東方通集團、中興通訊、樂信集團、北京賽博英杰科技有限公司、國浩律師（北京）事務所等組織機構的專家、學者、行業(yè)領袖等齊聚現(xiàn)場，共同見證企業(yè)級開源治理解決方案「懸鏡源鑒OSS開源威脅管控平臺」正式官宣開源化。

　　發(fā)布會現(xiàn)場高潮不斷，精彩紛呈，針對“開源軟件”、“供應鏈安全”等熱點帶來不同角度的學術探討與實踐分享，共同展望開源產(chǎn)業(yè)生態(tài)下的安全新態(tài)勢。

　　近年來，隨著云計算、AI、IOT等技術的不斷發(fā)展，IT等信息技術領域也有了新的突破，可以更好的賦能關鍵信息基礎設施建設。然而，安全作為主旋律，一直是備受關注的焦點。一方面，傳統(tǒng)安全防護措施的缺失，對于新型高級威脅缺少防護壁壘；另一方面，開源趨勢下，事后防御的手段已不滿足安全需求，“安全左移”下提出了更高的安全需求。

　　尤其是，近日影響力巨大的log4j 2.x的漏洞事件，引起了軒然大波。包括之前的solarwinds事件、Apace Strust2等漏洞事件都為我們敲響了安全警鐘。如何做好此類事件的威脅防護、開源安全的風險治理是需要大家積極探討的新命題。

　　在本次大會上，懸鏡安全創(chuàng)始人兼CEO子芽以《用開源的方式做開源風險治理》為主題，圍繞“開源”、“風險治理”、“OpenSCA”等關鍵詞做了精彩分享。子芽表示，應用開源是大勢所趨，但是避免不了Web通用漏洞、業(yè)務邏輯漏洞、開源成分的缺陷及后門等漏洞問題，而用開源的方式做開源風險治理，可以讓開源用多樣性擁抱不確定性，形成開源新范式。

　　此次，懸鏡安全對外發(fā)布OpenSCA開源技術，是為了解決看不清、摸不透、跟不上、防不住的治理難題。OpenSCA作為懸鏡安全旗下商業(yè)級SCA產(chǎn)品源鑒OSS開源威脅管控平臺的開源版本，它繼承了源鑒OSS的多源SCA開源應用安全缺陷檢測核心能力。

　　而且，子芽認為，創(chuàng)新的過程也是價值迭代創(chuàng)造的過程，更有利于拓展人類認知實踐的邊界。而且希望用開源的方式做開源風險治理，和大家一起，守護中國軟件供應鏈安全！

　　圖1 懸鏡安全創(chuàng)始人兼CEO子芽分享

　　中興通訊開源合規(guī)&安全治理總監(jiān)項曙明以《構建開源可信供應鏈實踐分享》為主題進行了分享，開源標準體系的不斷落地，行業(yè)應用的不斷實踐以及客戶需求的逐漸成熟與清晰，我們不得不意識到開源安全治理能力成為企業(yè)必選，逐漸成為了企業(yè)進入市場的準入門檻。企業(yè)應根據(jù)所處行業(yè)特點、企業(yè)經(jīng)營模式和特點，結合外部環(huán)境及要求，進行企業(yè)開源風險場景分析，制定適合企業(yè)長期發(fā)展的開源風險治理策略，以更加開放的商業(yè)姿態(tài)擁抱開源。

　

　　圖2  中興通訊開源合規(guī)&安全治理總監(jiān)項曙明分享

　　國浩律所（北京）事務所合伙人胡靜以《開源軟件出口管制合規(guī)探討》為主題探討了什么是美國出口管制、美國出口管制與開源軟件的關系、出口管制下的開源軟件合規(guī)思路，解析軟件管理中的長轄管理規(guī)則，助于我們建立開源軟件管理的全球視野與國際化合規(guī)認知。

　　

　　圖3  國浩律師事務所合伙人胡靜分享

　　騰訊安全科恩實驗室DevSecOps技術專家趙洪陽分享了《以二進制SCA為核心的制品掃描》，他指出，制品掃描是重要的質量關卡，同時也是運營、開發(fā)過程重要的安全信息來源，而制品中也面臨著License商業(yè)風險、開源組件、linux內(nèi)核漏洞風險、敏感信息泄露、系統(tǒng)安全基線等安全問題，而以二進制SCA為核心，檢測安全風險，可以保障檢出率。主要從5個方面入手：

　

　　圖4  騰訊安全科恩實驗室DevSecOps技術專家趙洪陽分享

　　樂信集團信息安全總監(jiān)劉志誠以《生態(tài)閉環(huán)治理開源供應鏈安全》為主題做了精彩分享，他提出在開源軟件的生命周期管理中，應該做好引入前、引入后、事件響應三個階段的準備工作，做好安全風險的評估與治理，應急演練，風險轉移工作，避免技術（漏洞驗證、漏洞分析、緩解措施、代碼修復）、資源（可持續(xù)性評估、應急響應、風險轉移）帶來的安全難題，共建保險、共享、社區(qū)的安全新生態(tài)，形成安全閉環(huán)。

　　圖5 樂信集團信息安全總監(jiān)劉志誠分享

　　中國信息通信研究院云大所云計算部副主任郭雪以《開源風險現(xiàn)狀分析與SCA標準解讀》對開源、開源組成要素、發(fā)展歷程、產(chǎn)業(yè)發(fā)展等方向做了解讀，數(shù)據(jù)顯示，全球開源項目數(shù)量和我國開源項目數(shù)量都呈現(xiàn)了較大的增長，然而也面臨著技術與運維、管理風險等可以預見但是無法規(guī)避的困難與挑戰(zhàn)，針對這一現(xiàn)象國家不斷推出了開源相關政策，大力認可開源帶來的生態(tài)價值和產(chǎn)業(yè)價值。最后，郭主任系統(tǒng)解讀了信通院依據(jù)開源生命周期建立的可信開源標準體系，幫助大家對開源的有序發(fā)展及體系化、標準化運營建立了更加清晰的框架性認知。

　　

　　圖6 中國信息通信研究院云大所云計算部副主任郭雪分享

　　當前，開源已覆蓋軟件開發(fā)的全域場景，正在構建新的軟件技術創(chuàng)新體系，引領新一代信息技術創(chuàng)新發(fā)展。據(jù)不完全統(tǒng)計，全球97%的軟件開發(fā)者和99%的企業(yè)使用開源軟件，基礎軟件、工業(yè)軟件、新興平臺軟件大多基于開源，開源軟件已經(jīng)成為軟件產(chǎn)業(yè)創(chuàng)新源泉和“標準件庫”。與此同時，開源許可證的兼容性問題、開源項目的合規(guī)問題、開源安全漏洞問題和開源知識產(chǎn)權的侵權等問題也日趨凸顯。

　　任何問題的出現(xiàn)，總要找到相應的解決方案！懸鏡安全數(shù)十位來自北大的科研人員、行業(yè)專家智庫，歷時26280個小時潛心打磨，提出了“用開源的方式做開源風險治理”，希望用簡單的配置即可完成對開源組件所使用的成分進行檢測，深度挖掘組件中潛藏的各類安全漏洞及開源協(xié)議風險，助力企業(yè)進行開源風險的識別及治理。

　　未來，懸鏡安全將依托軟件供應鏈安全技術，布局開源安全產(chǎn)業(yè)生態(tài)，以前瞻性產(chǎn)業(yè)視角視角構筑行業(yè)安全生產(chǎn)線，不斷拓展人類認知實踐的邊界，在更大的范圍幫助更多的企業(yè)實現(xiàn)開源風險治理，助力開源生態(tài)健康有序發(fā)展。