首页 > 其他分享 >京东云开源软件治理工具SSCM强势来袭!免费试用

京东云开源软件治理工具SSCM强势来袭!免费试用

时间:2024-04-02 14:47:58浏览次数:22  
标签:漏洞 开源 SBOM 许可证 组件 软件 京东 SSCM

开源软件是数字时代研发创新和效率的引擎

•开源软件占所使用的所有软件的70%,是支持企业转型的创新生态系统不可或缺的部分。

•根据奇安信的2023中国软件供应链安全分析报告,被分析的2631个国内企业软件项目中,100% 使用了开源软件,平均每个项目使用155个。

开源软件使用存在的风险

开源并不是“免费”,开源软件的使用,可能存在严重的组件安全漏洞、许可证合规、运维等风险。

•安全漏洞

开源组件和第三方依赖关系繁多且变化频繁,可能潜伏未知的安全漏洞,给企业和组织带来潜在风险

•许可证风险

组件和依赖的使用,可能受到各种许可证的限制,从而导致法律纠纷、代码被迫开源等问题。

•运维风险

研发所选用的低质量开源组件,可能更新频率低甚至停止维护,带来质量和维护问题。

SBOM概念

SBOM(Software Bill of Materials)是一种清单或记录,用于描述软件产品的构成要素,类似物理产品的配料清单,详细列出软件中所包含的所有组件、相关许可证协议的清单,以及所有组件之间依赖关系的描述。

SBOM提供了可见性,帮助用户精准掌控开源软件版本、依赖以及许可证信息,是开源治理的有效抓手。

京东云星光SSCM开源软件治理工具

京东云星光SSCM(Software Supply Chain Management),是基于SBOM的开源软件治理工具。它源自京东开源组件管理、安全合规及知识产权保护的实践探索,提供全面、准确和实时的软件物料清单采集与分析能力,打造企业级标准化软件成分信息库,并集成组件漏洞库和许可证库,赋能组织高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

产品目标

高效地管理和使用开源软件,在获得开源收益的同时,确保安全与合规,充分释放开源软件潜力。

产品功能

•软件成分分析

识别软件所有开源组件、版本及依赖关系,镜像Layers,产生软件开源漏洞和许可证风险评估报告,按需生成各种格式SBOM文件。

•软件资产管理

建立包含开源台账的软件资产库,见人之所未见,实现对资产进行精细化管理,并能够加入筛选规则,进而规范开源组件的使用流程。

•组件反向溯源

建立反向溯源关系,定位指定版本的组件被组织内软件所使用情况,当出现安全漏洞时,能够精准锁定受影响的软件范围,快速响应。

•开源漏洞管理

提供完善的组织组件漏洞库,并实时同步权威漏洞信息,同时支持漏洞的检索和查看,追溯受影响的软件包,并提供修复建议。

•许可证管理

提供完整的开源许可证库,落地京东集团开源软件合规使用规范,内嵌京东法律合规团队对百种以上常见开源许可证的应用建议。

•在线工具

SBOM验证工具检验SBOM文件是否被篡改,保证一致性与安全性;SBOM格式转换工具提供SBOM文件多种标准的转换能力。

•工具集成

与CI/CD集成自动采集SBOM信息并提前预警风险,与制品库集成规范开源组件的引入,与信息安全管理工具集成快速响应漏洞。

应用场景

•开源组件选用

基于开源组件信息库遴选优质组件,审核及引入新的组件

•安全开发

尽早发现和解决安全风险,实现安全左移,阻断隐含高危安全风险的应用上线

•漏洞应急响应

通过反向追溯软件,迅速确定漏洞的影响范围,快速修复或替换

•软件采购

扫描外采软件成分以评估其质量、安全性及合规性,确保符合组织要求

•软件资产管理

有效管理软件资产,包括软件和组件的版本、依赖关系和安全状况等

•审计及知识产权

软件资产审计,安全审计,许可证合规审计及保护知识产权

产品价值

•提高质量与安全

平台赋能开发者选择高质量的组件,并能够有效跟踪组件的来源、版本和依赖关系,快速定位并解决漏洞,确保组件的质量,保障组织安全。

•提高效率

平台赋能研发团队快速发现可信的组件,便利地使用组件,同时能够精准地定位组件漏洞,从而提升软件架构设计、编码,以及解决问题的效率。

•降低风险

平台提供精细和动态的开源组件、漏洞及许可证信息,赋能安全合规人员高效的合规审计和快速的漏洞修复,降低安全合规风险。

•降低成本

平台的使用,既能大大降低软件交付全生命周期中使用和维护组件的成本,又有效减少研发组织管理组件及修复组件漏洞的成本。

 

 

 

免费试用,扫一扫

标签:漏洞,开源,SBOM,许可证,组件,软件,京东,SSCM
From: https://www.cnblogs.com/Jcloud/p/18110528

相关文章

  • 京东为openKylin新增SBOM利器,保障软件供应链安全和可追溯性!
    京东作为openKylin(开放麒麟)社区理事单位,在加入社区后,京东发起成立了SBOMSIG组。SBOMSIG组负责推动和促进软件物料清单(SBOM)的发展和工具建设。近日,SBOM工具已在openKylin社区完成开源,保障openKylin相关软件供应链安全和可追溯性。SBOM工具能解决哪些问题?在当今软件供应链日益复......
  • 京东云“智能编码”上线了!免费试用
    智能编码JoyCoder是一款基于大语言模型、适配多种IDE的智能编程助手,可以为研发人员提供代码预测续写、UI草图转前端代码、生成单元测试、代码安全漏洞自动识别及修复、一键生成接口文档、AI智能问答等功能。助力开发者高效、流畅、智能化地编程!AI辅助编程生成式AI技术正......
  • 今早,这个中国人做的开源项目被YC的hacker news收录了!
    众所周知,YC在创业者心中的地位,它孕育出了openai、airbnb等众多硅谷知名企业。就在今早,YC的hackernews把这个由中国人做的开源项目收录了!这是一个什么项目?先上开源地址:https://github.com/saasfly/saasfly简介中可以看出,这是一个具备足够创新的“下一代SaaS模版”,旨在帮助使......
  • RudderStack 开源CDP 平台
    RudderStack是基于golang开发的开源CDP平台包含的特性eventstreaming 支持16+sdkprofiles 快速基于dw或者datalake构建客户画像reverseetl 支持反向etl数据治理 支持增强追踪,方便对于一些隐私数据的管理event转换 支持基于js以及python进行数据修复200+......
  • 13.5k star, 免费开源 Markdown 编辑器
    13.5kstar,免费开源Markdown编辑器分类 开源分享项目名:Editor.md--Markdown编辑器Github开源地址: https://github.com/pandao/editor.md在线测试地址: Editor.md-开源在线Markdown编辑器完整实例: HTMLPreview(markdowntohtml)-Editor.mdexamples......
  • 31.2k star, 免费开源的白板绘图工具 tldraw
    31.2kstar,免费开源的白板绘图工具tldraw分类 开源分享项目名:tldraw--无限画布白板Github开源地址: https://github.com/tldraw/tldraw在线测试地址: tldraw文档地址: tldrawSDKtldraw是一款开源免费的无限画布白板,可以在线的实时协作,用户能够创建简单的图形......
  • Redis开源协议调整,我们怎么办?
    本文分享自华为云社区《Redis开源协议调整,我们怎么办?》,作者:华为云PaaS服务小智。2024年3月20日,Redis官方宣布,从Redis7.4版本开始,Redis将获得源可用许可证( RSALv2 )和服务器端公共许可证( SSPLv1 )的双重许可,时间点恰逢刚刚完成最新一轮融资,宣布的时机耐人寻味。 ......
  • 强!10.6K star,一款开源HTTP测试工具,适合新手,简单、容易上手!
    大家好,我是狂师!今天给大家推荐一款开源的HTTP测试工具:Hurl,相比curl、wget功能更强大,且更容易上手、很适用新手使用。1、项目介绍Hurl是一个使用Rust语言开发的命令行工具,它允许用户运行以简单纯文本格式定义的HTTP请求。这个工具不仅适用于获取数据,还非常适合用于测试HTTP会话......
  • 分享几个非常不错嵌入式开源项目,一定不要错过
    大家好,我是知微!经常有小伙伴后台私信我:有没有好的开源项目推荐怎么样才能提升自己的编程能力那么这篇文章就推荐几个还不错的开源项目,感兴趣的小伙伴可以学习一下!日志库EasyLoggerhttps://github.com/armink/EasyLogger开发一个项目,如果没有日志的记录,当遇到问题需要分......
  • ET8开源游戏:英雄传说(零)简介与总目录篇
    《英雄传说》是一个基于ET8.1的双端C#(Client-Unity3D,Server:.Net8)开发的在线联网多人竞技游戏。当前文章主要做此Demo的技术分解,主要是战斗系统跟状态同步的技术分享,大伙有想法的欢迎评论区讨论,后续会逐步迭代分享写完:(一)鲁班配置表方案集成与使用(二)YooAsset介绍与使用,加密(......