企业动态

防好供应链攻击源头：奇安信开源卫士

开源软件的应用非常广泛，在金融、运营商、电力、航空、汽车等行业客户的信息系统底层架构中，均有开源软件的影子。据 Gartner 调查报告显示，99%的组织在其 IT 系统中使用了开源软件。

作为支撑信息系统的源头，在实战攻防演习中，开源软件极易成为红队利用软件供应链攻击的“源头” 和突破口。

如何快速盘清开源软件资产？如何发现开源软件中的安全风险？如何及时掌握相关的漏洞情报？

为此，奇安信发布了国内首个成熟的商用开源软件安全治理产品——奇安信开源卫士系统。

奇安信开源卫士是一款集开源软件识别与安全管控于一体的软件成分分析系统，该系统通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息，利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能，帮助用户掌握开源软件资产信息，及时获取开源软件漏洞情报， 降低由开源软件带来的安全风险，保障企业交付更安全的软件。

奇安信开源卫士具备四大能力：

开源软件资产发现功能

奇安信开源卫士通过软件成分分析，可以识别企业软件中使用了哪些开源软件以及开源软件间的关联关系，自动生成开源软件资产信息清单。目前开源卫士能够识别C、C++、Java、Python、JavaScript、.NET、PHP、Swift/OC、Go/Golang、.Net、Erlang、Scala、Ruby、Perl、R等多种语言开发的4000多万个开源软件版本的信息。

开源软件安全风险分析功能

奇安信开源卫士通过开源软件信息，能够匹配对应的漏洞信息，自动生成开源软件漏洞信息列表，目前开源软件漏洞情报信息兼容了美国国家通用漏洞数据库（ NVD ）、国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）及多个开源社区漏洞信息等数据源。

开源软件漏洞情报推送功能

开源软件关联分析功能

开源软件中的安全漏洞，在影响该开源软件安全的同时，也会给使用该开源软件的其他开源软件带来安全风险。奇安信开源卫士可以对开源软件间的关联关系和相互影响进行分析，帮助企业全面跟踪溯源开源软件漏洞可能的影响范围。

奇安信开源卫士应用场景：

软件设计阶段：可通过奇安信开源卫士开源软件查验功能检索预使用的开源软件的版本是否存在已知漏洞和协议风险，在技术选型时，及早规避引入有漏洞的开源软件，从源头把控开源软件的风险。

软件开发阶段：软件开发部门使用奇安信开源卫士与软件版本管理系统、持续集成系统等开发工具链进行集成，针对研发项目进行周期性自动化开源软件安全扫描，及时发现引入的开源软件是否存在已知漏洞和协议风险，便于开发人员对有风险的开源软件进行及时整改。

软件测试阶段：软件研发（包括自主开发和外包开发）完成后，分析软件中包含了哪些开源软件资产，形成开源软件资产清单，分析开源软件中是否存在已知安全漏洞和协议风险，评估漏洞危害等级及整改建议。

软件运行阶段：奇安信开源卫士针对上线前形成的开源软件资产清单，通过云端安全分析中心持续监控开源软件漏洞情报信息，当有新的漏洞被发现，系统会通过邮件、站内信等方式通知客户，帮助客户及时获取到影响自身安全问题的漏洞情报信息，及时采取应对措施。

目前，奇安信开源卫士团队运营着国内规模最大的“开源项目检测计划”，收集了4000多万个开源项目版本的信息，积累了大量的开源软件安全基础数据。奇安信开源卫士的漏洞信息兼容了国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台（CNVD），能够满足行业用户相应的监管要求。同时，当用户使用的开源软件不能通过升级软件版本进行漏洞修复时，奇安信开源卫士依托奇安信代码安全实验室专业的漏洞研究能力，可以为用户提供开源软件漏洞危害评级、漏洞补丁分析、漏洞补丁方案等高端漏洞修复咨询服务。

图：开源软件分析结果