如何使用 Checode SCA 管理开源风险

在现代的开发模式中，开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具，再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库，几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入，更多更复杂的开源应用的使用场景，意味着组织面临着越来越多的风险。

开源软件的广泛应用，除了最直接的安全风险外，还会给企业带来法律、软件供应链和运营风险。Gartner 在《2020年软件成分分析市场指南》中将 SCA 工具视为企业“应用战略”的一个重要组成部分。

SCA 工具的主要作用之一是帮助企业监控和管理已知和未知的开源漏洞。Checode SCA采用包含代码片段扫描、依赖代码分析、二进制代码分析的三技术分析引擎系统，分析被测软件源代码中的开源组件和对外依赖的开源组件。

使用开源代码，就一定会涉及软件许可证。软件许可证往往带有很具体的要求和义务，并且有些许可证的要求是很严格的，而这些条款往往被开发团队忽视。但如果不能准确识别和遵守这些义务，就会使组织面临法律风险。

Checode已拥有最全面的开源知识库，开源知识库包含超2000万以上开源组件，收录安全漏洞50W+。收录主流OSI与FSF认证许可证200+，许可证数据库含2000+开源许可证。Checode已累计获得知识产权 10多项，服务于金融、通信、电商、汽车等多个行业的客户。

提升软件供应链的透明度是解决开源代码安全与合规问题的未来方向，SBOM 是其中最关键之处。

Checode SCA根据SBOM解析组件对应的开源许可证义务及许可证冲突，帮助企业识别代码合规性风险；根据SBOM关联组件漏洞知识库对应的开源漏洞信息和修复建议，让企业及时解决开源漏洞安全隐患；SBOM中记录的开源组件在未来出现新的漏洞时，系统通过邮件通知管理员，提醒用户及时修复漏洞，消除风险。