年度优秀安全产品——棱镜七彩开源安全与合规治理平台

一、产品介绍

1、背景：

随着计算机技术的发展，开源软件的使用率正在平衡快速增长，在软件开发过程中使用开源软件时，不应仅仅关注开源软件的功能，还应把安全作为重要因素纳入考量。我们专注于通过软件生命周期开源软件安全管理平台识别并规避相关开源风险，提供全面的解决方案，帮助企业实现开源的安全性，确保其产品和服务的安全，建立一个健康的开源软件生态系统。

经过我们的调研，每年公开披露的开源软件漏洞不断增长，每年的增长率超过20%，2019年更是增长近50%。此外，开源许可证风险也不可忽视，如传染性许可证要求衍生代码开源、使用相同开源许可证；不同许可证成分中存在冲突条款；开源软件的版权、专利、商标侵权，专利权益损失等，一不小心就会危及到整个软件供应链。如果企业能够意识到开源软件存在的安全问题的重要性，同时去寻求解决办法，那么这样的前瞻性能够给企业带来意想不到的回报。

开源安全与合规治理平台是基于“左移安全”、DevSecOps及实时监控的安全理念，在软件生命周期中对开源软件和依赖组件进行持续、自动化的识别、安全分析、持续集成管理、漏洞修复、组件清单管理、用户库管理等，并与第三方开发工具无缝集成，实现自动化的安全分析、策略执行、持续集成，进行实时监控，出现新的漏洞及时发送通知。开源安全与合规治理平台的目标是能够适应敏捷开发，同时希望在企业意识到开源软件安全管理的重要性之后，通过开源安全与合规治理平台产品的解决方案，帮助企业解决因对开源软件维护、管理不善而产生的问题。

在设计阶段根据漏洞和许可证来帮助开发者在开源框架、组件选型进行初步的筛选；在开发阶段大多企业无法在过程中进行统一管理，缺少对开源软件安全漏洞的评估和规范的引入流程，开发者直接引用组件进行开发，而IDEA插件扫描能前移到在开发阶段就能精确到行，直接发现并提供动态解决方案进行修复漏洞；系统可以根据用户自定义规则进行自动化策略执行，及时阻断构建过程；安全测试环节扫描依赖组件，对遗留的的安全风险进行分析确认和修复，对于一些无法简单进行升级或打补丁修复的漏洞则需要开发人员和安全人员共同配合，提供解决方案或缓解措施；对漏洞进行实时监控，检测出漏洞信息能进行快速响应，选择最合适的修复方案推荐给用户，一旦发现新的漏洞或新的解决方案会通过邮件、钉钉实时通知到用户，根据配置自动创建Jira问题单，让用户能够快速处理问题。

当前开源安全与合规治理平台提供了基于棱镜七彩开源软件知识库、安全知识库和用户自建知识库，结合先进的自动化分析技术，为软件CI/CD提供全方位的开源软件安全、合规与管理解决方案。

开源成分管理入口

识别使用开源代码的方式：完整引用开源项目、引用部分开源项目源文件、引用开源代码片段，改善开源软件成分“脏乱差”问题。

开源软件管理平台

通过能够持续监控漏洞。通过管理全面的软件生命周期以强化的一致性、准确性、安全性。

开源软件治理工具

集成devsecops软件，让用户更专注业务，工具来管理风险。

2、应用场景

(1)  检测

开源安全与合规治理平台基于对配置文件进行文本解析，帮助开发者、项目管理者使用多种扫描方式进行扫描检测。

自动化建立软件产品的开源成分清单，并提供开源成分清单管理。进行依赖识别，且识别最底层的依赖。

对产品进行安全分析，检测是否可能携带已知的安全漏洞。

开源许可证的合规性进行检测，防止传染性、不兼容的许可证，保护开源软件的知识产权。

定时更新新的漏洞信息、解决方案，并将检测异常的结果通知到用户。

(2)  CI/CD集成，敏捷开发

支持IDE、Jenkins、Teamcity、命令行等工具集成，并通过邮件、钉钉、Jira等方式进行精准推送漏洞信息。用户能通过本地命令行工具直接解析压缩包进行本地扫描；集成IDE插件让开发者在开发阶段直接检测出漏洞信息，能进行快速响应，精确到行，选择最合适的修复方案推荐给用户。集成Jenkins根据用户自定义规则进行自动化策略执行，及时阻断构建过程；一旦发现新的漏洞或新的解决方案会通过邮件、钉钉实时通知到用户，让用户能够快速处理问题。

(3)  可视化展现

开源安全与合规治理平台支持多维度展示数据检测结果，提供对组件、漏洞、许可证、包管理器等统计结果，饼状图、柱状图可直观展示项目情况，支持导出word、excel等多种格式检测报告便于帮助客户轻松发掘、管理、削弱漏洞及许可证风险。

3、特点与优势

(1)   技术架构

棱镜七彩开源安全与合规治理平台基于基于国内最大开源软件知识库、安全知识库，与第三方工具集成，实现持续性、自动化的开源组件安全分析、持续集成管理和修复，详细指标如下：

指标名称

描述

代码管理平台

支持Gitlab、GitHub、Gitee、SVN

持续集成工具

支持Jenkins、Teamcity

事务跟踪工具

支持Jira

IDE插件

支持Idea、Vscode插件

命令行工具

支持CLI，兼容Windows和Linux平台

知识库

支持组件知识库查询

支持漏洞知识库查询

支持许可证知识库查询

支持项目知识库查询

用户规则管理

支持漏洞等级规则

支持组件、许可证规则

报告

多维度报告

(2)   功能特点

全：知识库全面，支持主流编程语言、多种包管理器的组件分析、许可证分析、溯源分析等

快：快速扫描产品中的漏洞，精确到行，提供详细解决方案，提高开发效率

易：系统界面简洁，操作简单，易学、易用

优：不断更新的漏洞库，实时精准通知，让软件品质更优

变：除SaaS服务外也支持私有化部署或定制化开发，为企业提供更加灵活、可靠的体验

(3)   产品优势

动态安全版本推荐

提供动态解决方案，选择与用户使用版本最近的安全版本进行推荐升级，保证兼容性，若多个漏洞属于同一组件则会推荐统一版本进行修复。

自建依赖库

支持企业自主构建漏洞库及开源软件知识库，提供开放的API，支持灵活的客户化定制。

敏捷开发

让开发者在编码过程中及时发现代码中的问题，定位到行，快速而精确的给出修复建议，在构建阶段根据用户自定义规则进行自动化策略执行，及时阻断，实现安全左移，系统灵活性更强。

对资产安全的实时监控与精准推送

实时监控开源软件漏洞情报，关联用户的相关项目，做到及时响应，并使用邮件和钉钉等方式进行精准推送。

4、使用方式

通过拉取代码仓库进行检测

可直接登陆开源安全与合规治理平台系统，拉取GitHub、码云或者私有gitlab仓库的代码，分析依赖组件并查看结果。

通过上传 zip 包或二进制包进行检测

可以在开源安全与合规治理平台系统直接上传本地的zip包、jar包、war包进行检测。

拉取 artifactory、svn项目检测

用户可通过配置相关参数后直接拉取artifactory或svn中的项目进行检测。

通过命令行工具进行检测

配置命令行工具，对本地代码进行依赖组件分析，可在本地查看分析结果文件，也可在页面查看分析结果。

通过持续集成工具插件进行持续集成分析和编译管理

用户配置相应的插件和持续集成规则（如高危漏洞阻断等）自动进行分析管理，与用户规则冲突后自动打断持续集成过程，并通知相关人员。

IDE插件使用

开发人员可以直接使用IDE插件，在开发时对依赖组件进行分析，及时识别和修复安全风险。

二、技术突破

棱镜七彩旗下产品及服务均由公司自主研发，核心技术具有自主知识产权。公司针对开源供应链安全生态深入研究，结合软件研发特点，建立领先的开源知识库和指纹库，通过代码克隆检测技术、代码识别匹配技术、代码特征提取技术、元数据提取技术、多语言词法分析器、依赖分析技术、配置文件分析等自主研发技术，为填补国内开源供应链安全领域空白，提供专业技术支持。

技术点1：与研发环境结合，闭环安全管理

与用户的研发环境相结合，形成闭环的研发安全与管理流程，保障研发阶段的软件供应链安全和许可证合规性，并追踪研发阶段所用组件的最新安全漏洞情况和版本发布情况。

技术点2：软件供应链安全决策支持工具

基于开源软件的多维度质量评价，保障软件供应链中供应环节的安全性。同时，提供为安全选型提供参考，帮助搜索开源软件相关信息，分析和评估开源组织/项目的性质、存在的风险、受政府影响程度，为开源组织/项目在软件供应关节中的安全风险提供决策支持。

技术点3：研发过程动态跟踪，实现智能运维

基于Devops的研发安全理念，通过对研发过程中选型组件进行跟踪，分析研发过程中潜在的安全风险。基于开源组件成分，建立智能运维数据库，追踪运行组件的最新漏洞和版本，及时发现最新安全风险，提供安全漏洞信息和警告推送，并提供安全漏洞补丁推送服务，实现运行系统的智能运维。

技术点4：海量数据来源

拥有国内最大的开源项目（组件）数据库，收录渠道已达到15种，支持315种编程语言，项目数量不少于400万个，数据容量超过100TB，各类数据仍不断扩充。项目类型涵盖操作系统、数据库、虚拟化、中间件等多种门类，收录项目名、项目源码、渠道网址、版本号、作者、开发语言、描述、项目主页、代码的语言、版本、厂商、来源等基本信息。

技术点5：强大的安全漏洞和许可证特征库

提供开源代码漏洞特征库。收录了超过15万以上安全漏洞，其中可以定位到版本级的开源安全漏洞超过3万条，文件级漏洞超过1万条，代码级漏洞超过3000条。同时，安全漏洞知识库定期更新，可达到日更新。

开源代码漏洞可以定位至文件级和代码级，能够输出文件级漏洞的文件路径，提供专业的安全漏洞修复建议。能够输出展示代码级漏洞的代码函数或者代码片段。提供安全漏洞信息包括：漏洞来源、漏洞名称、发布时间、更新时间、危害等级、漏洞类型、威胁类型、漏洞利用方式、CVE编号、CPE信息（受影响的产品、版本）、POC信息、受影响实体及版本等。

收录超过1800条许可证知识库。收录许可证信息包含中英详细信息，包括许可证名称、许可证类型、许可证描述、许可证官方链接、商用友好性、许可证冲突性、许可证版权声明、许可证禁止条款等。

技术点6：独特的开源成分分析技术

独特的开源成分分析技术。通过多语言词法分析器、代码特征提取、代码识别匹配、源代码组件分析、二进制组件分析、配置文件分析、数据分析统计、元数据提取和依赖分析等相互配合，实现对源代码的多维度分析和相关信息提取，不遗漏任何一处开源成分线索。

技术点7：高效的检测性能，海量数据稳定处理

拥有快速代码搜索集群，以内存计算为基础的集群，将流数据分成小的时间片断（几秒），以类似批处理的方式来处理这小部分数据，实现高效检测。对软件源代码进行预处理、相似度对比分析、历史漏洞分析等，形成代码处理和分析信息，并根据这些信息实现基于规则的检索与统计，使得系统稳定性强，亿行代码数据也能稳定处理。

三、应用案例

(1)典型案例（一）——OpenHarmony开源软件扫描与管控

(2)典型案例（二）——阿里云计算开源合规治理与代码自主分析

(3)典型案例（三）——中国移动开源软件安全与合规治理