开源资产清晰化:全面梳理开源资产,建立关联项目的资产台账,实现开源透明化与全程可追溯;
开源流程规范化:平台支持灵活配置审批节点,内置开源全生命周期管理流程,确保企业开源制度有效落地;
开源风险可控化:定期识别开源软件的安全、合规及运维风险,支持灵活配置安全门禁,助力企业及时了解并响应开源风险;
华讯开源软件分析治理平台(OSSinsight)是一款对开源资产进行自动化安全合规治理的平台。平台以开源软件生命周期管理为核心,构建了集成分分析、流程审批、开源资产管理和风险识别处置等功能于一体的治理体系,助力企业落地开源治理规范,建立切实可行的开源治理工作机制,提升开源软件管理能力,构建稳固的开源软件安全保障体系,为企业的数字化转型与信息安全保驾护航。
通过将国标与实际业务场景逻辑特征结合,细化漏洞的环境评分规则,基于漏洞的影响范围、被利用成本、修复成本以及环境因素等维度,量化漏洞影响,构建风险权重模型,逐步剥离漏洞噪声,帮助客户筛选出真正亟需整改的安全漏洞,降低安全运维成本,提高整体安全水平。
执行深度许可检测与分析,涵盖组件级别、代码片段级别以及文件级别,分析在目标应用场景中被检测项目是否无许可条款冲突,提供全面的合规建议和丰富的知识库案例,协助用户辨识并理解在特定情境下可能遭遇的法律及许可问题,从而实施有效的预防策略,调整项目规划,显著减少许可证侵权的可能性。
具备源代码检测、二进制检测、代码片段检测、容器镜像检测、依赖检测及运行态中间件识别等多种检测方式,全方位支持软件开发运维、采购验收、安全法务评估等各个场景,通过精准识别开源软件成分,助力企业构建透明和可控的软件供应链。同时实时监控构建过程,减少误报和漏报,提高识别准确性,为企业提供全方位的安全保障。
知识库收录超1000+开源项目和漏洞数据源,覆盖主流开源社区、各大官网及商业漏洞库,整理归纳2600+许可证类型及其条款,同时由专业团队利用AI技术数据优化,确保数据源的权威性、数据采集的及时性、数据体量的广泛性以及数据结果的准确性。
流程管理:平台具备完善的开源软件引入、升级、使用及退出等全流程线上审批功能,审批流程节点、开源软件引入及审批模型均支持按需调整,更好支撑制度落地;
资产管理:形成开源组件列表/开源软件列表(记录所有新增开源软件以及存量开源软件)、黑白灰名单列表以及退出组件列表,包括各个版本信息、许可证信息以及安全漏洞信息,存量开源软件通过定期扫描评估进行监测。
风险管理:支持多种文件类型的扫描与分析,识别其中开源软件安全风险、合规风险以及运维风险,形成全面漏洞信息以及多维度报告,帮助开发人员快速定位修复问题。
检测能力:支持对源代码、二进制、代码片段、容器镜像等进行扫描分析,精准识别开源组件名称、版本、依赖关系、风险信息、许可证合规风险以及运维风险信息等数据,构建SBOM,并通过对扫描结果进行统计整合,可视化展示扫描结果。
多渠道对接:支持多种渠道对接,包括CICD、代码平台、私有仓库和制品仓库。用户可自定义监控扫描策略,定期扫描私服库和代码仓库,持续监测识别存量资产以及潜在风险,及时检查受影响版本组件,并进行风险信息同步。
在开源治理规范实践阶段,企业可基于平台内置的开源治理流程,结合企业自身的业务流转机制,灵活配置审批节点、引入模型以及审批模型,构建符合企业业务需求的个性化开源治理流程,确保开源治理规范有效落地实施。
若企业现有项目规模较大,亟需对存量开源资产进行审查治理,可通过平台对已有的项目资产进行扫描。可对接多种渠道,包括代码平台、私服仓库以及其他业务系统,同时通过自定义监控扫描策略,持续检测存量项目的风险状况,及时发现并告警风险状况,帮助企业进一步提升开源软件的安全保障水平。
当企业需要从多个维度直观统计和分析开源资产的使用现状时,可直接通过平台的总览页面获取相关数据,包括漏洞风险统计、许可证类型统计、项目策略违反统计以及开源安全风险项目TOP10等,帮助企业多维度直观了解自身开源资产的整体状况。
在开源软件选型评估阶段,可通过预扫描识别开源软件的详细信息,包括基础信息描述、安全漏洞信息、许可证信息以及运维信息。同时,可通过自定义引入模型,选择适用于不同类型开源软件的选型框架,从而帮助企业科学合理地做出开源软件选型决策。
当企业需要全面了解其开源资产分布、依赖关系及使用情况时,可利用平台的资产管理功能,对新引入、自研以及第三方开源软件分门别类进行管理,形成详细的开源组件列表、开源软件列表、黑白灰名单列表、退出组件列表以及非官方组件列表,详细记录开源软件各个版本信息、许可证信息以及安全漏洞信息,为企业的开源资产管理提供数据支撑。
沪公网安备31011502002642号
