在这个信息互联互通的信息爆炸时代，运行在基础设施上的数据承载着大量国家和个人的重要信息。强化供应链安全保障工作，保护关键信息基础设施安全变得越来越重要；

保障关键信息基础设施安全的一个很重要方面是确保关键信息基础设施使用的网络产品和服务的供应链安全，而可信开源则是软件供应链安全的重要组成部分。开源软件已经成为软件开发中非常重要和不可或缺的一环，是全球软件产业最重要的软件构成模式。
作为推动建立中国可信开源生态的重要力量，始终活跃在开源行业一线的中国信息通信研究院于2022年5月20号主办的“OSCAR开源先锋日”，会议上发布了6大成果，成立了3大组织，面向可信开源全景，聚焦行业开源治理应用的落地，分享业界优秀的研究成果和成功实践。

同时在这次会议上也发布了3个通过信通院测评的与可信开源相关评估项目：

• 可信开源供应链企业
• 可信开源供应链产品
• 可信开源社区以及可信开源治理工具（SCA）

可信开源治理工具（SCA）作为可信开源中最重要的检测工具，为企业和评估机构对软件产品是否安全规范的使用开源软件提供了一个自动化的检测能力和可量化、可视化的检测结果。
可信开源治理软件成分分析SCA工具分源码SCA和二进制SCA，这两种SCA工具分别适合在不同的软件开发阶段来使用。源码SCA的检测对象为源代码，适合在软件编码开发和构建时使用，可以尽早的发现问题，实现安全测试左移。二进制SCA的检测对象为二进制软件包，可以在软件测试、发布和运维阶段使用，它不需要源代码测试更方便，同时具备所见即所得的长处—测试结果反映的就是终端用户使用软件的情况，同时也很好的规避和解决了一些会引起源码SCA检测不了或检测不准的场景（比如：引用的二进制开发库，只引用开源软件部分功能代码等）。
在这次“OSCAR开源先锋日”上，华为云计算技术有限公司的研发安全服务（成分分析）（SaaS版）通过了信通院的可信开源治理工具的认证，并在华为公有云上对外提供了商业服务。
该服务依托华为公司多年的安全技术研究和安全工具研发成果，是目前国产能力最强并已商用的二进制SCA工具服务，对用户发布包/固件包中存在的风险提供了全面快速的排查能力，涵盖开源软件风险、信息泄露风险、配置类风险3大类26小类检查项。它具备一下一些特性：

• 无需依赖源码：用户只需上传二进制软件包/固件，服务会采用静态检测技术，不用构建运行环境，不用运行程序即可快速分析二进制软件包/固件中存在的安全风险问题，并输出一份专业的分析报告。
• 与被测对象的架构平台无关：支持桌面（Windows和Linux）应用、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件（u-boot、Android sparse等）等。
• 主流编程语言支持全面：C/C++、Java、Go、Python、JavaScript、Rust等主流编程语言均已支持检测，其他覆盖语种也在持续增加中。
• 主动管理威胁：依托工具实时完善的漏洞库能力，主动管理历史扫描软件BOM中新发现的漏洞告警。

另外还提供了全面、直观的风险汇总信息，并支持pdf、excel多种报告格式导出和针对不同的扫描告警，提供专业的分析指导，帮助用户快速消除风险；

信通院李晓明发布《开源安全深度研究报告》。

华为公司受邀分享《华为智能化开源治理实践》的演讲

议题中介绍了华为开源软件管理要求及开源检测工具使用的优秀实践，以及如何利用先进的工程技术和安全工具实现智能化的开源治理目标: 对内精细管理、对外合法合规。其中对最有用和最关键的检测技术–软件成分分析SCA服务展开了详细的说明。

通过SCA服务实现了多层次开源成分及依赖识别、全方位合规风险预警及评估和智能风险应对及消除，确保安全和合法合规的使用开源软件，确保开源安全，支撑企业产品安全和商业成功。

总结：软件供应链安全作为保障信息基础设施安全基座的重要部分，关系到上层数据和信息的安全。通过智能化开源治理来确保安全和合法合规的使用开源软件，进而保障软件供应链的安全，支撑企业产品安全和商业成功，通过可信开源为软件供应链安全保驾护航。

阅读福利：>>>试用软件成分分析SCA服务