2023年4月4日 北京 – 近日,在由中国信通院云计算和大数据研究所、OpenChain联合主办的“OSCAR开源供应链沙龙”活动上,阿里云作为国内首批完成信通院“可信开源供应链评估”的云厂商,获得“可信开源供应链&OpenChain”公司级认证,其面向政企提供的企业级云平台产品飞天企业版获得“可信开源供应链”产品级认证,进一步完善丰富了阿里云的合规资质,并显示出阿里云领先的软件供应链安全管理能力与开源合规水平。
软件供应链是一个由多个上游与下游组织相互连接而形成的网链结构。该链条上软件设计与开发的各个阶段中,来自开发者(或其上游)的编码过程、工具、设备、服务的安全,以及软件交付渠道及使用过程安全的总和,被称为软件供应链安全。当前,使用开源软件进行“混源”开发已经成为常态,伴随其中的开源合规和安全风险问题不容忽视。
近年来,各国政府和相关用户单位对软件供应链的安全问题愈加重视,要求厂商加强对软件供应链安全的管理,提升开源治理能力及合规水平。其中,OpenChain项目由Linux基金会发起,旨在制定开源软件供应链标准,帮助全球企业更高效地解决开源合规的问题。项目通过建立和维护OpenChain ISO/IEC 5230标准,使开源合规工作对于软件供应链的参与者而言更可预测、更易理解、更加高效,从而推动相关各方建立对开源的信任。
中国信息通信研究院是OpenChain项目在国内首家第三方评测机构,完成信通院“可信开源供应链评估”的企业将同时满足《开源供应链风险管理框架》行业标准和OpenChain ISO/IEC 5230标准,并由中国信通院颁发相关证书。该评估旨在帮助软件提供商和云服务商规范开源软件引入、开发和交付的流程和制度,帮助企业降低开源供应链风险。
本次,阿里云作为国内首批完成信通院“可信开源供应链评估”的云厂商,同时满足《开源供应链风险管理框架》行业标准和《ISO/IEC 5230:2020 Information technology — OpenChain Specification》标准,获得“可信开源供应链&OpenChain”公司级认证,飞天企业版获得“可信开源供应链”产品级认证。
本次获得产品级认证的飞天企业版(Apsara Stack)是阿里云基于分布式架构,针对企业级市场需求,为客户量身打造开放、统一、可信的企业级云平台。飞天企业版的原生安全体系架构提供多层级、一体化安全防护服务;基于一云多芯混部能力,可通过屏蔽硬件差异和软硬协同优化,帮助政企客户享受标准高质量算力。在性能与创新方面,飞天企业版与阿里云公共云同根同源,基于CIPU打造存算分离软硬一体的核心架构,提供超70款云产品,单Region最大部署规模超10000台,支持多Region业务运行及跨域大数据计算,满足客户超大规模业务量运行需求。基于飞天企业版,客户可在任何环境本地化部署公共云产品及服务,并具备一键弹性至公共云的能力,从而随时随地尽享混合云产品服务。
目前,飞天企业版已经在超1000家政府、金融、能源等行业客户的全栈云平台中落地,搭配适合政企客户的交付与服务模式,有效保障企业业务安全稳定上云,成为政企数智创新的同行者。
