监管行业
监管行业开源治理落地实践
在开展开源社区软件物料清单(SBOM)平台专项建设之前,我国开源生态面临着多方面的问题和痛点,这些问题严重制约了对开源软件的有效管理和安全保障。从开源软件风险管控角度来看,随着开源软件在各行业的广泛应用,安全漏洞问题愈发突出。大量开源组件存在已知或未知漏洞隐患,且同时伴随版权纠纷风险以及恶意攻击事件。 在开源软件供应链地位和影响力提升方面,国内缺乏统一、高效的开源社区软件物料清单管理和服务基础设施,无法为开源社区提供标准化的数据底座、工具架构和规范接口,导致开源生态治理缺乏有力的技术支撑。 在规范与服务方面,缺乏一套全面、标准化的SBOM测试评估规范,导致SBOM数据的准确性、完整性和合规性难以得到有效保障,影响了SBOM在软件开发和供应链管理中的应用效果。
解决方案
技术架构
该解决方案采用分层的技术架构,主要包括展示层、Web服务层、数据层和基础环境层。
展示层主要负责检测数据的展示与下载、检测任务的发起等,前端以Node.js语言开发,采用Vue.js模板引擎渲染,结合CSS、HTML、jQuery、Bootstrap等技术构建用户界面,实现权限控制、Ajax交互等功能,支持应用包威胁审查、SBOM风险扫描、编码实现分析等操作的可视化展示。
Web服务层基于JavaSpringBoot开发,负责对检测引擎进行调度、与外部系统集成对接等,包含测试运行时监控、私服库安全扫描、代码同源分析等功能模块,通过检测任务消息队列实现任务的异步处理,提高系统的并发处理能力。
数据层采用MySQL、Redis、Elasticsearch等数据库,通过数据连接池管理数据库连接,实现数据的存储、缓存和检索,确保数据的高效访问和处理。
基础环境层以Docker作为容器化技术,为系统提供稳定、可移植的运行环境,支持私有化部署和云端SAAS部署两种方式,满足不同用户的部署需求。
此外,系统还支持与多种安全工具和生产平台对接,以RESTful API方式实现检测任务自动化下发及结果数据收集,实现不同检测工具结果的关联分析和漏洞数据的清洗归并,增强漏洞数据的可读性和准确性。
成果效益
该解决方案为某监管部门带来了多方面的价值和显著的预期效果。
在开源软件风险管控方面,平台可使漏洞检出率提升约60%,漏洞修复效率提高50%以上,许可证合规性问题减少70%以上,恶意组件和后门代码的检出率提高80%,显著降低了供应链攻击带来的损失。
在开源生态治理方面,统一的SBOM管理和公共服务平台为开源社区提供了标准化的基础设施,促进了开源资源的整合和共享。
在规范与服务方面,SBOM测试评估规范和服务体系方案的制定,提高了SBOM数据的质量和服务的专业性,促进了SBOM技术的推广和应用。
荣誉认可
悬镜安全正式成为首批软件物料清单(SBOM)工作组成员单位
由开放原子开源基金会主办、开源风险评估与治理技术实验室承办的2024开放原子开源生态大会软件物料清单(SBOM)分论坛上,悬镜安全顺利通过国家工业信息安全发展研究中心持续数月的测评与审核,成功入选成为首批SBOM工作组成员单位。
扫描二维码
阅读获奖案例详细方案
阅读获奖案例详细方案