OpenSCA受邀出席2023 Open Compliance Summit

简介: OpenSCA受邀出席2023 Open Compliance Summit

近日,由Linux基金会主办的2023 Open Compliance Summit(开放合规峰会,简称OCS)在日本东京隆重召开。悬镜安全旗下全球极客开源数字供应链安全社区OpenSCA受邀参与,OpenSCA社区运营负责人奇秋月以“Open Source Compliance & Security Management Based on SBOM”(基于SBOM的开源合规和安全管理)为主题发表主题演讲,与参会嘉宾共同探讨应对开源风险治理的中国方案。

0.jpg

OCS是开源领域唯一的国际化合规峰会,仅面向Linux基金会成员和部分受邀者开展,本次参会者包括IBM、华为、LG电子等国际知名企业。OCS为来自不同公司和不同背景的参与者提供一个中立的环境,以讨论与数字供应链管理合规性、安全保证等相关的最佳实践(流程、策略、指南、工具等),确保全球数字供应链高效运转。

1.png

活动现场,OpenSCA社区运营负责人奇秋月在演讲中介绍了SBOM在软件开发生命周期中的应用以及其带来的效率和风险。OpenSCA在治理SBOM安全风险具有显著优势,除了明显的低成本和开放的二次开发之外,OpenSCA的适用范围也更广,不会局限于单一厂商视角,能为用户提供兼容透明、上下游开放的解决方案。

2.png

此外,OpenSCA向与会嘉宾重点讲解了中国首个数字供应链安全SBOM格式——DSDX。基于OpenCSA社区大量用户实践,OpenSCA联合开源中国、电信研究院、中兴通讯等权威研究机构、甲方用户和安全厂商多方力量,共同推出更适配中国企业实战化应用实践场景的SBOM格式。

DSDX分割了最小集和扩展集以获得更高的灵活性和更好的维护;高度兼容SPDX、CycloneDX、SWID三大国际主流标准,通过DSDX ID可实现SBOM之间的相互参考和关联;DSDX记录了供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保障SBOM的修改全程可追溯。

DSDX核心特点在于全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。
1、全场景覆盖:覆盖数字供应链全场景,涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖,提供更加透明化的SBOM管理;
2、强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;
3、供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;
4、强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。

3.jpg

作为全球首个开源数字供应链安全社区,OpenSCA屡获国内外权威认可,获评GVP(Gitee最有价值开源项目)、中国软博会“全球十大开源软件产品”、Cybersecurity Excellence Awards:Open-Source Security Gold Winner(开源安全金奖)等,OpenSCA深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,输出透明化的组件资产及漏洞风险清单,持续为企业及个人用户提供低成本、高精度、稳定易用的开源数字供应链安全解决方案。

相关文章
|
10天前
第四届人文,智慧教育与服务管理国际学术会议(HWESM 2025) 2025 4th International Conference on Humanities, Wisdom Education and Service Management
第四届人文,智慧教育与服务管理国际学术会议(HWESM 2025) 2025 4th International Conference on Humanities, Wisdom Education and Service Management
31 7
|
搜索推荐 API Apache
走进ASF系列 - 如何成为一个合格的ASF贡献者(Contributor)
# 阿里土话 ASF是一个开源组织,他有自身的文化,阿里是一个要活好102年的公司,其文化底蕴非凡!分享ASF之前总想或多或少的和大家分享一些阿里的味道! * 给世界带来微小而美好的改变 * 把幸运种子种到别人身上去,你才会有幸运 * Never, Never, Never Give Up(永不放弃) 没错,阿里人看到上面的三句话会倍感亲切,因为上面三句都是 “阿里土话”。虽然是
584 0
AI:2020年6月24日北京智源大会演讲分享之知识智能专题论坛——10:05-10:50 孙怡舟教授《Bringing Additional Symbolic Knowledge to Kn 》
AI:2020年6月24日北京智源大会演讲分享之知识智能专题论坛——10:05-10:50 孙怡舟教授《Bringing Additional Symbolic Knowledge to Kn 》
AI:2020年6月24日北京智源大会演讲分享之知识智能专题论坛——10:05-10:50 孙怡舟教授《Bringing Additional Symbolic Knowledge to Kn 》
「Code Lab科技创新营」浙江大学
蚂蚁金服金融科技携手浙江省内优秀高校与合作伙伴,建立长期的科技育人计划并推出「Code Lab科技创新营」 「Code Lab科技创新营」项目主要开放给具备一定信息技术基础的本科院校三、四年级或在校研究生同学, 邀请到数位蚂蚁金服高级技术工程师及高校博士导师以3天集中课程的形式向学生输出蚂蚁技术与能力,与同学们面对面深入探讨,共同实践。 本次活动以”如何创造出支付宝移动APP“为课程主题,由专业老师辅导,学生上手实操开发。真正做到技术不再是理论,上手不再是梦想。
「Code Lab科技创新营」浙江大学
「Code Lab科技创新营」夏令营
蚂蚁金服金融科技携手浙江省内优秀高校与合作伙伴,建立长期的科技育人计划并推出「Code Lab科技创新营」 「Code Lab科技创新营」项目主要开放给具备一定信息技术基础的本科院校三、四年级或在校研究生同学, 邀请到数位蚂蚁金服高级技术工程师及高校博士导师以2天集中课程的形式向学生输出蚂蚁技术与能力,与同学们面对面深入探讨,共同实践。 本次活动以”如何创造出支付宝移动APP“为课程主题,由专业老师辅导,学生上手实操开发。真正做到技术不再是理论,上手不再是梦想。
「Code Lab科技创新营」夏令营
「Code Lab科技创新营」北京大学
蚂蚁金服金融科技携手浙江省内优秀高校与合作伙伴,建立长期的科技育人计划并推出「Code Lab科技创新营」 「Code Lab科技创新营」项目主要开放给具备一定信息技术基础的本科院校三、四年级或在校研究生同学, 邀请到数位蚂蚁金服高级技术工程师及高校博士导师以3天集中课程的形式向学生输出蚂蚁技术与能力,与同学们面对面深入探讨,共同实践。 本次活动以”SOFABoot微服务框架项目开发“为课程主题,由专业老师辅导,学生上手实操开发。真正做到技术不再是理论,上手不再是梦想。
「Code Lab科技创新营」北京大学
走进ASF系列-参与ASF开源贡献的正确姿势
本视频利用80分钟的时间为大家认真剖析了参与开源社区的 源动力,参与开源社区的原则以及如何在开源贡献的同时做最好的,最开心的自己!最终在自己的开源之路一路硕果! 自然之道 “曲则全,枉则直,洼则盈,敝则新,少则得,多则惑” 语出《道德经》第二十二章,整句充分反映了老子的辩证思想,老子用曲则全,枉则直,洼则盈,敝则新,少则得和多则惑来讲述了”道
287 0
|
监控 安全 Apache
走进ASF系列 - ASF年度大会程序
# 最简单的即是最困难的 阿里的新六脉中有一脉叫做“因为信任,所以简单”。在我们的生活工作中最宝贵的是信任,同时最脆弱的也是信任。你复杂,世界便复杂;你简单,世界也简单。ASF组织也是一样,提倡公开,提倡民主,提倡信任。在上一篇的《[走进ASF系列 - 初识ASF组织架构及治理](https://www.atatech.org/articles/169296)》中提到ASF采用选举和任命的方
462 0
|
运维 Kubernetes Cloud Native
直击 KubeCon 现场 | 阿里云 Hands-on Workshop 亮点回顾
相关文章链接【合集】规模化落地云原生,阿里云亮相 KubeCon China沉淀九年,一文看清阿里云原生大事件 2019 年 6 月 24 日至 26 日,KubeCon + CloudNativeCon + Open Source Summit(上海 )在中国上海盛装启幕。
4658 0
|
安全 物联网 大数据
北京云栖 TECH INSIGHT 邀您赴一场技术盛宴!
Tech Insight 是专门针对开发者、架构师,以及产品技术管理人员的“实战”技术之旅。5场分论坛,2场Workshop,1场MVP Demo Show。 您将与现场上百位技术从业者进行深度交流,更可以进行现场实践。
3050 0