(相关资料图)
12月9日,由科技部组织开展的国家科技计划成果路演行动——社会发展领域专场成功举办。此次路演活动围绕环境保护、冰雪体育产业和公共安全领域,共筛选了56项科技成果开展路演。奇安信集团“科技冬奥”项目成果——软件供应链安全预警工具(又名开源卫士),作为公共安全领域优质成果参与此次路演活动。
开源软件作为现代软件开发最基础的“原材料”,在全球数字化转型中迎来了迅猛的发展期,但也伴随着大量安全隐患,并可能会随着供应链发展,直接给产业上下游带来更大的安全隐患。2020年底的SolarWinds安全事件,就波及了北美、欧洲等全球重要科技发达地区的敏感机构。
面对日趋严重的开源软件供应链的安全风险,奇安信一直积极探索,推进开源生态安全平稳发展。
开源卫士是奇安信开发的一款集开源软件识别与安全管控于一体的软件成分分析系统。通过智能化数据收集引擎,在全球范围内获取开源软件信息和漏洞信息,并能够及时获取开源软件漏洞情报,从而降低由开源软件带来的安全风险。
对于政企机构来说,开源卫士可以让用户更加清晰的了解自身系统的开源组件应用情况、安全风险,以及漏洞情报。首先,让用户“看见”软件中的开源资产,做到“知家底”;其次,让用户“知道”开源组件中存在的安全风险,做到“知威胁”;再次,让用户“掌握”最新开源(300109)软件漏洞情报,从而做到“知变化”。
在技术方面,开源卫士突破了三大关键技术,实现完全自主创新。其一是面向海量开源数据的领域知识库自动化构建技术,实现了高度自动化、高度精确的开源软件数据收集,为软件供应链安全分析打好了基础;其二是基于多级特征值的高效开源组件识别技术,大幅提升了开源组件识别的检出率、准确率与效率;其三是针对开源软件安全漏洞的精确识别与供应链影响分析技术,实现了开源组件和漏洞情报的准确对应,进而可有效分析软件供应链的漏洞影响。
近年来,我国政府部门相继发布相关政策,引导开源公共资源的建设及优化。“十四五”规划中,开源被首次写入,其后,在工业和信息化部印发的《“十四五”软件和信息技术服务业发展规划》和人民银行联合五部委发布《关于规范金融业开源技术应用与发展的意见》中,均积极推动产业用户正确认识开源、推进开源生态发展。
作为一款自主可控的国产安全工具,开源卫士是第一个通过信通院《开源治理工具能力评估》的国内产品。依托奇安信集团威胁情报信息库,建立了最全面的开源软件情报库,已在银行、保险、证券、运营商、能源等多个行业的几十家机构中取得应用,帮助企业掌握开源软件资产信息及相关风险,及时获取最新开源软件漏洞情报,降低由开源软件给企业带来的风险,保障企业交付更安全的软件。
“国家科技计划成果路演行动”是科技部为促进国家科技计划成果转化而打造的路演行动品牌活动,目的是以路演行动为抓手,建立国家和各级科技计划成果的汇交机制,搭建优秀科技计划成果与金融资本、产业需求、地方经济社会发展需求对接的高水平平台,提升国家技术转移服务体系效能,促进高水平技术要素市场的形成。此次奇安信成果入选路演行动,将在行业内进一步推广“冬奥遗产”。
作为奇安信集团“科技冬奥”项目的重要研究成果之一,该产品在北京冬奥会期间开展了开源软件安全检测服务,高效协助有关人员迅速定位并修复开源软件漏洞,有力支撑北京冬奥会网络安全“零事故”目标达成,并获得科技部致谢。