悬镜源鉴OSS入选WG10首批开源治理系列优秀案例集

近日，证券基金行业信息技术应用创新联盟开源软件与供应链安全工作组发布了《开源治理系列实践案例集（第一批）》（以下简称“《案例集》”）。悬镜源鉴OSS开源威胁管控平台（以下简称“源鉴OSS”）凭借行业领先的技术优势、应用率第一的市场地位以及对行业应用场景的全方位覆盖，成功入选《案例集》中“开源软件安全产品、服务、解决方案”方向。与此同时，作为源鉴OSS标杆案例之一的国信证券开源治理体系，此次入选了《案例集》中“公司内部开源治理”方向。

开源软件与供应链安全工作组（以下简称“WG10工作组”）为证券基金行业信息技术应用创新联盟下设工作组，由国家工业信息安全发展研究中心牵头，联合证券基金等行业用户、科技企业及研究机构等共同成立，聚焦证券基金行业开源软件应用和供应链安全，积极推动开源软件相关标准规范、技术能力、评估认证体系建设。

开源倡导开放、平等、协作、共享理念，集众智、采众长，加速软件迭代创新，已成为全球软件技术和产业创新的主导模式。为深入贯彻落实《关于规范金融业开源技术应用与发展的意见》《金融科技发展规划（2022-2025年）》，支撑证券基金行业开源生态建设，助力用户单位做好开源治理相关工作，构建合作沟通 络，搭建供需对接平台，立标杆、树典范，WG10工作组面向 会公开征集开源治理系列优秀案例，通过三轮的综合评估和调研，精挑细选11项实践案例，编制而成此《案例集》。

国际权威认证的核心技术 运行时解决开源治理痛点

基于自身多年的敏捷安全落地实践经验和软件供应链安全研究成果，悬镜安全总结出开源治理的四大痛点：

1.看不清

● 不清楚数字化应用中真实使用了多少开源成分，缺少对软件物料清单（SBOM）的有效管理；

2.摸不透

● 不清楚开源软件存在多少真实可被利用的中高危漏洞，开源软件的许可证可能存在合规性和兼容性等风险；

3.跟不上

● 不知道开源软件漏洞的真实影响范围，无法快速跟踪定位每天都爆发的新增漏洞；

4.防不住

● 不知道如何快速修复开源软件的已知漏洞，缺少对典型未知漏洞的积极预防和风险评估能力。

源鉴OSS作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全管理平台，基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，结合悬镜独有的应用探针技术，如同对代码进行核酸检测，精准识别应用开发过程中引用的第三方开源组件，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

同时，源鉴OSS通过智能大数据漏洞情 监测引擎，在全球范围内获取开源组件信息及其相关漏洞情 ，降低由开源组件带来的安全风险，保障数字化应用的安全。它不但能帮助安全团队准确并全面地掌握应用中存在的开源风险态势，而且可以助力开发人员精确获知漏洞详细的引入位置，确定补救工作的优先级并相应地集中精力修复高危漏洞，显著减少漏洞修复时间，提高开发人员的总体生产力。

作为国内首款运行态SCA产品，源鉴OSS完全由悬镜自主研发且安全可控，在满足国内行业监管法规要求的同时，获得了国内外各项权威荣誉资质：

● 国内首款通过CWE国际权威认证的SCA产品；

● 唯一一个通过中国信息通信研究院本地部署版和SaaS版全模式认证的产品；

● 国内唯一获得国际权威媒体机构CDM颁发的下一代开源安全奖的SCA产品；

● 其开源版本OpenSCA是首个拥有企业级SCA技术的开源工具，同时是唯一获得Gitee最有价值开源项目的SCA产品，获选南京软博会“全球十大开源软件产品”。

柔和嵌入研发流程 赋能企业开源治理

伴随着金融行业数字化转型需求的激增，企业大量引入开源组件为其开发赋能，并享受其带来的功能丰富、迭代快速等好处。但同时，开源软件的安全性、可靠性、可维护性以及许可证合规性等也给金融企业的科技建设带来新的挑战。

悬镜安全根据金融行业内软件开发现状，制定合理的开源治理方案，帮助用户通过引入源鉴OSS与现有的安全检测工具相结合，使之柔和嵌入自身开发流程。在满足企业业务发展的安全合规要求的基础上，悬镜助力企业在自身现有开发体系中，引入DevSecOps流程建设，有效防范、控制和解决相关开源组件风险，以保障应用安全。

借助于悬镜安全提供的开源治理解决方案，通过引入源鉴OSS工具及服务，用户能深度分析数字化应用代码成分及多级依赖，全方位审查通用、业务逻辑、第三方开源组件等软件供应链安全漏洞，使安全自动化、流程化地融入到企业的DevOps和内部漏洞管理平台。在实时发现业务迭代过程中存在的安全风险的同时，通过漏洞信息联动，达成安全缺陷持续反馈，使业务在上线前减少95%以上的组件中高危漏洞，从而在内部逐步建立起完备的开源治理体系，为自身数字化转型赋能。

目前，源鉴OSS已广泛落地于包括金融、泛互联 、车联 、智能制造、能源及运营商等在内的各大行业。在企业通过引入开源组件实现数字化应用开发敏捷化及业务交付加速的过程中，源鉴OSS高度适用软件开发生命周期的安全自查、业务外包的安全自查、第三方代码/组件引入安全自查等应用场景。此外，源鉴OSS已经完成在国内中间件、服务器、操作系统等信创领域的兼容性认证。

作为悬镜开源治理解决方案的最佳实践应用之一的国信证券开源治理体系，也同时入选《案例集》。身为全国性大型综合类证券公司，国信证券高度重视开源软件安全和许可证合规问题，结合自身业务实际情况，建立了内部开源治理体系，从源头保障软件产品的安全。在开源组件安全风险管理环节，国信证券将源鉴OSS嵌入需求管理与开发测试的流程中，在编码完成提测后自动触发OSS组件扫描，根据扫描结果推送缺陷工单，彻底卡住引入漏洞组件的源头。

构筑开源生态产业链 守护中国软件供应链安全

悬镜安全积极推动开源生态建设和发展，积极打通产业链上下游，与国内Top级别的生态合作伙伴完成战略签约，促成双方产品线的集成，为用户打造一站式、全场景的软件供应链安全解决方案。作为首家提出“用开源的方式做开源风险治理”的厂商，悬镜携手Gitee，将源鉴OSS的开源版本OpenSCA集成到Gitee Go流水线中，助力开发者和安全人员更快捷高效地对开源威胁进行精准管控，通过拥抱开源技术的方式推动开源软件供应链安全治理与运营常态化。

悬镜安全积极参与了多个由权威机构发起的开源软件、开源治理工具、开源治理成熟度等相关标准的制定，同时以开源促创新，持续帮助企业建立完备的开源治理体系，坚守安全可控底线，合规使用开源技术，加强企业科技创新能力。以创新谋发展，积极开展对外开源工作，通过与用户试点项目探索外部路径，形成参与外部开源建设的规范化引导，以实际行动践行“守护中国软件供应链安全”的企业使命。