2023 年 9 月 14 日，華為云正式發(fā)布 CodeArtsGovernance 開(kāi)源治理服務(wù)。這是一款針對(duì)軟件研發(fā)提供的一站式開(kāi)源軟件治理服務(wù)，將華為在開(kāi)源治理上的實(shí)踐及經(jīng)驗(yàn)和能力逐步固化在華為云服務(wù)上，助力企業(yè)更加安全、更加高效的使用開(kāi)源軟件。

開(kāi)源軟件的使用在當(dāng)前軟件開(kāi)發(fā)過(guò)程中已經(jīng)成為不可或缺的一部分，根據(jù)最近的一項(xiàng)調(diào)查報(bào)告顯示，全球超過(guò) 90%的企業(yè)在其軟件開(kāi)發(fā)過(guò)程中使用了開(kāi)源軟件。

雖然企業(yè)使用開(kāi)源軟件在創(chuàng)新共享、靈活定制甚至成本效益等方面擁有優(yōu)勢(shì)，但開(kāi)源軟件自身安全狀況持續(xù)下滑，開(kāi)源軟件的供應(yīng)鏈也攻擊不斷。因此，使用開(kāi)源軟件時(shí)，企業(yè)需要關(guān)注如下三個(gè)維度的風(fēng)險(xiǎn)：

合法合規(guī)風(fēng)險(xiǎn)

開(kāi)源軟件的使用可能涉及到法律和合規(guī)方面的風(fēng)險(xiǎn)。例如，某些開(kāi)源許可證可能要求將軟件的源代碼公開(kāi)發(fā)布，而如果企業(yè)沒(méi)有遵守這些許可證的條款，則會(huì)面臨法律糾紛和版權(quán)問(wèn)題。

此外，開(kāi)源軟件可能依賴(lài)于其他開(kāi)源軟件或?qū)Ｓ熊浖?，如果未獲得適當(dāng)?shù)脑S可證或合規(guī)性認(rèn)證，可能會(huì)面臨侵權(quán)和法律責(zé)任。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

由于其開(kāi)放的特性，開(kāi)源軟件可能容易受到黑客攻擊和惡意代碼注入。惡意用戶可以利用開(kāi)源軟件中的漏洞或弱點(diǎn)來(lái)入侵系統(tǒng)、竊取數(shù)據(jù)或進(jìn)行其他攻擊行為。

Log4j2 是一個(gè)開(kāi)源的 Java 日志框架，被廣泛用于 Java 應(yīng)用程序的日志記錄和管理。2021 年 12 月 Log4j2 被爆出遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞被安全專(zhuān)家稱(chēng)為史“史詩(shī)級(jí)”漏洞，波及全球 6 萬(wàn)+開(kāi)源軟件，影響 70%以上的企業(yè)線上業(yè)務(wù)系統(tǒng)。

供應(yīng)安全風(fēng)險(xiǎn)

由于開(kāi)源軟件通常是通過(guò)社區(qū)合作開(kāi)發(fā)，因此可能存在質(zhì)量不一致、缺乏有責(zé)任感的維護(hù)者或過(guò)度依賴(lài)個(gè)別貢獻(xiàn)者的情況。又或是已使用的開(kāi)源軟件不繼續(xù)演進(jìn)和維護(hù)，開(kāi)源軟件的更新和支持受到限制或延遲，導(dǎo)致軟件在長(zhǎng)期使用中出現(xiàn)問(wèn)題或安全漏洞無(wú)法及時(shí)修復(fù)。

為了應(yīng)對(duì)這些風(fēng)險(xiǎn)，華為云開(kāi)源治理服務(wù) CodeArtsGovernance 將提供全面的解決方案。

此次，華為云率先推出二級(jí)制成分分析特性，通過(guò)如下優(yōu)勢(shì)特性，助力企業(yè)應(yīng)對(duì)開(kāi)源風(fēng)險(xiǎn)：

特性 1：無(wú)源碼，無(wú)侵入快速檢測(cè)

基于二進(jìn)制的成分分析，無(wú)需用戶提供源代碼，只需上傳產(chǎn)品發(fā)布包或固件，通過(guò)服務(wù)的靜態(tài)分析及特征檢測(cè)技術(shù)，無(wú)需構(gòu)建運(yùn)行環(huán)境或運(yùn)行程序即可快速分析產(chǎn)品二進(jìn)制軟件包中包含的開(kāi)源軟件及漏洞清單。

特性 2：全面的檢測(cè)能力，安全及合規(guī)問(wèn)題全防護(hù)

License 合規(guī)性檢測(cè)：通過(guò)評(píng)估開(kāi)源軟件許可證的合規(guī)性，服務(wù)可以檢測(cè)出是否存在使用違反許可證規(guī)定的軟件，并幫助企業(yè)遵守合規(guī)要求，避免潛在的版權(quán)侵權(quán)和法律糾紛。

開(kāi)源軟件漏洞掃描：通過(guò)服務(wù)自動(dòng)掃描和識(shí)別軟件中存在的開(kāi)源軟件漏洞，并提供詳細(xì)的漏洞報(bào)告和修復(fù)建議，幫助客戶及時(shí)修復(fù)漏洞，減少被黑客利用的風(fēng)險(xiǎn)；

安全配置及敏感信息泄露檢測(cè)：支持識(shí)別制品包中硬編碼密碼、硬編碼密鑰、弱口令、密碼復(fù)雜度、證書(shū)文件等 20 余種場(chǎng)景，保護(hù)用戶的敏感數(shù)據(jù)不被泄露；

惡意代碼檢測(cè)：內(nèi)置先進(jìn)的開(kāi)源軟件惡意代碼檢測(cè)引擎，結(jié)合 AI 等相關(guān)檢測(cè)技術(shù)，覆蓋惡意命令執(zhí)行、反彈 Shell、混淆加密代碼等十余種典型的惡意行為，檢測(cè)準(zhǔn)確率大于 95%，優(yōu)于同類(lèi)工具。企業(yè)在開(kāi)源軟件引用前掃描，可幫助企業(yè)及時(shí)發(fā)現(xiàn)開(kāi)源軟件中的惡意代碼，避免惡意威脅流入產(chǎn)品軟件；若在版本軟件發(fā)布前掃描，可幫助企業(yè)攔截惡意代碼，避免惡意代碼流入生產(chǎn)環(huán)境，解決企業(yè)供應(yīng)安全風(fēng)險(xiǎn)。

特性 3：多語(yǔ)言，多文件格式，多架構(gòu)平臺(tái)

華為云 CodeArtsGovernance 二進(jìn)制的成分分析服務(wù)具備超強(qiáng)的兼容性，為用戶帶來(lái)更高的靈活性、便利性和可擴(kuò)展性。服務(wù)支持多種語(yǔ)言編譯構(gòu)建，在多種操作系統(tǒng)或多種 CPU 架構(gòu)下生成的二進(jìn)制文件；同時(shí)支持 40 多種文件系統(tǒng)或文件格式，覆蓋主流軟件應(yīng)用場(chǎng)景，確保軟件在不同環(huán)境中的安全性，減少切換和兼容性問(wèn)題，提高檢測(cè)效率。

華為云 CodeArtsGovernance 將持續(xù)提供更多優(yōu)秀的實(shí)踐能力，如源碼成分分析、開(kāi)源元數(shù)據(jù)管理、軟件信息樹(shù)等，為用戶提供全量開(kāi)源軟件資產(chǎn)可視化管理能力，幫助用戶更輕松的進(jìn)行開(kāi)源軟件及漏洞管理。

審核編輯 黃宇