近日,由Linux基金会主办的2023 Open Compliance Summit(开放合规峰会,简称OCS)在日本东京隆重召开。悬镜安全旗下全球极客开源数字供应链安全社区OpenSCA受邀参与,OpenSCA社区运营负责人奇秋月以“Open Source Compliance & Security Management Based on SBOM”(基于SBOM的开源合规和安全管理)为主题发表主题演讲,与参会嘉宾共同探讨应对开源风险治理的中国方案。
OCS是开源领域唯一的国际化合规峰会,仅面向Linux基金会成员和部分受邀者开展,本次参会者包括IBM、华为、LG电子等国际知名企业。OCS为来自不同公司和不同背景的参与者提供一个中立的环境,以讨论与数字供应链管理合规性、安全保证等相关的最佳实践(流程、策略、指南、工具等),确保全球数字供应链高效运转。
活动现场,OpenSCA社区运营负责人奇秋月在演讲中介绍了SBOM在软件开发生命周期中的应用以及其带来的效率和风险。OpenSCA在治理SBOM安全风险具有显著优势,除了明显的低成本和开放的二次开发之外,OpenSCA的适用范围也更广,不会局限于单一厂商视角,能为用户提供兼容透明、上下游开放的解决方案。
此外,OpenSCA向与会嘉宾重点讲解了中国首个数字供应链安全SBOM格式——DSDX。基于OpenCSA社区大量用户实践,OpenSCA联合开源中国、电信研究院、中兴通讯等权威研究机构、甲方用户和安全厂商多方力量,共同推出更适配中国企业实战化应用实践场景的SBOM格式。
DSDX分割了最小集和扩展集以获得更高的灵活性和更好的维护;高度兼容SPDX、CycloneDX、SWID三大国际主流标准,通过DSDX ID可实现SBOM之间的相互参考和关联;DSDX记录了供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保障SBOM的修改全程可追溯。
DSDX核心特点在于全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。
1、全场景覆盖:覆盖数字供应链全场景,涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖,提供更加透明化的SBOM管理;
2、强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;
3、供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;
4、强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。
作为全球首个开源数字供应链安全社区,OpenSCA屡获国内外权威认可,获评GVP(Gitee最有价值开源项目)、中国软博会“全球十大开源软件产品”、Cybersecurity Excellence Awards:Open-Source Security Gold Winner(开源安全金奖)等,OpenSCA深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,输出透明化的组件资产及漏洞风险清单,持续为企业及个人用户提供低成本、高精度、稳定易用的开源数字供应链安全解决方案。
