一体两面

开源软件引入的红利与风险

中国联合网络通信有限公司软件研究院是中国联通集团提升自主研发能力的重要战略规划单位，主要承担中国联通集团内部业务支撑系统、管理支撑系统、大数据、软件研发等重要任务以及前瞻性技术研究与应用。

近年来，全球范围内有关软件供应链安全的攻击事件层出不断，Apache log4j2漏洞的爆发更进一步推动开源领域风险治理工作，让行业乃至国家认识到了问题的严重性。中国联通过去在长期的业务系统建设中引入了大量开源软件，如K8s、Ceph、Contiv、Istio、Redis、Kafka等，这些软件的引入在解决IT系统建设难题的同时节省了大量成本，为中国联通IT建设带来了许多技术红利。然而，由于未制定相应的开源组件使用规范，存在各个系统开源软件使用不一、复杂多样，开发人员在开发过程中未能关注开源组件的漏洞情况，开源组件安全漏洞反复出现，由开源软件直接或间接引发的故障占比较高。

为进一步深入落实中国联通集团“1+9+3”战略规划、筑牢数字化发展防线，结合中国联通研究院现有软件项目使用开源代码的比例逐步提高的现状，如何制定企业内部开源组件基线规则、保证开源组件引入的规范，是内部开源治理建设首要解决的问题。

悬镜源鉴SCA助力

携手打造开源治理新范式

扎实提升开源组件风险控制能力

有效统筹业务发展与安全

方案建设落地后，联通软研院建立了内部的开源组件使用规范，研发人员在开源组件的引入及使用过程中即可确定组件的安全版本范围，在研发早期阶段规避了开源组件漏洞的引入，大大降低了开源组件漏洞修复成本，有效减少了业务上线时开源组件引入的风险。

源鉴SCA开源威胁管控平台自动化梳理软研院业务系统的组件资产，从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系，通过可视化拓扑图多维度展示DSDX SBOM清单，实现对软件物料清单的透明化管理，同时在安全事件发生时也能及时回溯风险组件的位置及影响范围，为解决组件风险快速提供依据。

联通软研院基于源鉴SCA的开源治理能力建立了企业级平台，可对各类型采购、自研、软件资产进行梳理和安全审查，进一步在内部建立开源治理组织架构，制定配套的开源治理管理制度和规范，逐步构筑起比较完备的开源风险治理体系，规范开源软件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，进而提升开源治理能力。

源鉴SCA与软研院已有DevOps流程无缝结合，在流水线的相应阶段自动发现应用程序中的开源组件，提供关键的版本控制和使用信息，并在DevOps的任何阶段检测到漏洞风险和策略风险时触发警报。所有信息通过安全和开发团队所使用的平台工具实时推送，全程不改变原有开发流程、无需额外安全测试时间投入，满足联通软研院敏捷开发和DevOps模式下软件产品快速迭代、快速交付的需求。

SCA技术已成为数字供应链开源治理的关键入口，悬镜安全始终坚持以技术创新为核心引擎，源鉴SCA是国内首款基于多引擎的SCA产品，作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的供应链安全管理与审查平台，专注于解决企业内引入的开源软件及数字供应链的安全风险问题。作为国内SCA技术的实践引领者，源鉴SCA已广泛落地于金融、车联网、泛互联网、智能制造、通信及能源等大量行业头部标杆用户，为其提供数字供应链全面可靠的安全保障，持续守护中国数字供应链安全。