一、产品概述

开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析（SCA）产品，用于第三方组件的

安全分析与管控，包括企业组件使用管理、组件使用合规审计、新漏洞感知预计、开源代码知识产权审计等，可实现

对源码与制品的精准分析，是帮助企业实现开源风险治理的最佳工具。

二、产品效果

精准把控开源组件风险

SourceCheck可以助力企业识别开源组件中的漏洞风险和合规风险，分析风险的级别，对已知漏洞进行跟踪和 定位。 对于已存的风险，SourceCheck会提供修复建议，避免软件带病上线。

透明化管理软件资产链条

SourceCheck助力企业进行软件资产信息的收集与管理，实现企业级、部门级、项目级的软件资产分布可视化。 组件依赖关系，漏洞传播链条，全部清晰可查，减少开发人员与安全人员的风险排查时间成本，加速开发进程。

最小化风险治理成本

漏洞未现，防护先行。SourceCheck可以实时监测新漏洞，并快速分析出新漏洞的影响范围，将新漏洞的攻击扼 制在开始阶段。 最大限度减少突发漏洞带来的损失，帮助企业降低安全风险治理的成本。

最快实现安全组件选型

SourceCheck具有数亿级别的组件知识库，可以为企业软件资产中已存的风险提供专业的修复建议和组件替换方 案。帮助开发人员在最短的时间内完成组件选型，

零人工介入的自动化集成

SourceCheck 支持自动化检测，自动化推送风险问题清单。集成CI&CD，可自动触发检测，通过在 SourceCheck产品中配置相关提单规则及项目范围， 结合缺陷或工单类系统，自动生成工单并提交给研发人员。自动化流程极大限度地助力企业提高研发效能。

三、应用案例

开源网安针对微众银行提供的开源软件安全治理解决方案，是通过数十年在软件安全领域进行深耕所形成的方案、工具链的基础上，根据软件供应链安全问题和开源软件治理问题相结合所制定的创新型解决方案。该方案为微众银行数字化建设及运营过程中的软件供应链提供了安全保障，主要包括开源软件成分分析功能、软件物料清单管理功能。

为了让开源组件检测更快捷的反馈给开发人员，实现组件安全的“安全左移”，开源网安软件成分分析工具SourceCheck在微众银行应用研发阶段将自身集成于开发环境中Pace|CI持续集成流程中，当开发者提交代码后，在持续集成环节进行检测，并根据安全部门人员制定的安全规则进行组件分析，分析结果再根据ITSM工单系统，发生给开发人员，让开发人员第一时间掌握开源组件所包含的风险。

在此过程中，将开源组件分析过程前移至研发阶段，不但减少了测试环节的的步骤，而且将安全人员职能进行提炼，只需要重视安全政策和规则的建设和管理，把执行检测的工作自动化完成，进而加快了应用开发的效率。

本项目为微众银行软件供应链安全管理提出了高可用的综合性方案。既满足了微众银行在现有研发环境下对软件安全和研发效能的保障，又提升了其对软件供应链安全威胁的防护、检测和响应的能力，有效避免因软件安全造成的严重影响。本项目上线后在微众银行研发体系中的12个部门内进行使用，覆盖研发人员2200+人，部署服务器25000+台，部署应用1900+。在软件安全检测上，将漏洞误报率稳定控制在15%以下。

提升金融行业开源软件治理能力，为开源技术的自主创新和金融数字化奠定安全基石。通过本项目方案，管理者对本行软件资产和开源项目使用情况一目了然，对组件、许可证、漏洞清单做到心中有数并及时提出修复建议，将开源风险和损失降到最低。本项目促进微众银行依法合规、合理应用开源技术，提升自主创新能力；严守软件质量关，保证开源技术自主可控、可靠，提升软件交付质量；构建开源软件安全管理体系，防范、化解开源技术风险，提升应用系统安全能力，为金融数字化转型奠定安全基石。

本项目的成功落地，是微众银行认真学习国家网络安全政策，尤其是软件供应链安全方面相关规定和要求的表现，是充分落地实施《关于规范金融业开源技术应用与发展的意见》要求并严格执行国家对金融行业监管政策的体现。微众银行实现开源技术在源头上的严格把控，有效将软件供应链安全风险和损失降到了最低，发挥了微众银行作为国内最大互联网银行的行业良好示范作用，提升了微众银行在国内开源技术生态建设方面的影响力，促进了金融行业软件供应链安全生态的构建和健康发展。