近日,由中国信息通信研究院主办的“2024中国信通院ICT深度观察报告会——开源和软件供应链论坛”在京召开。会上,中国信通院重磅发布了2023可信开源与可信安全系列评估结果,京东云提报的“SSCM软件供应链管理工具”成为 下半年度唯一 通过“ SBOM可信软件物料清单总体能力要求评估 ”的项目。
企业在面对软件供应链管理时,常常会遇到 “理不清、看不见、找不到” 的痛点:首先,企业不清楚在系统中使用了多少第三方软件和组件,第三方组件通常又会依赖其它更多组件,多级依赖使整个组件结构非常复杂,难以理清;其次,企业使用第三方组件时,即使是已产生过安全漏洞和知识产权风险的“老组件”,也无法及时“看见”风险漏洞并处理;第三,企业在第三方组件出现漏洞时,无法快速定位受影响的组件,评估影响范围。
基于此,京东云打造了基于SBOM的软件供应链管理工具SSCM软件,以全面、准确和实时的软件成分分析能力, 为软件供应链做“全身体检” ,快速“靶向”修复漏洞,规避合规风险,进而确保软件供应链的安全。
具体来说,SSCM软件供应链管理工具可基于开源组件信息库遴选优质组件,审核和引入新的组件;同时,工具可清晰记录应用及环境所使用的组件版本,进行版本控制并追踪其变更。通过反向追溯软件,该工具可迅速确定漏洞的影响范围,快速修复或替换。
网友评论