11月15日至16日，操作系统产业大会&openEuler Summit 2024在北京召开。中金金融认证中心有限公司（CFCA）信息安全专家宋鑫磊受邀出席安全与合规分论坛，并发表主题为“浅谈SCA的商业化”的演讲。

中金金融认证中心有限公司（CFCA）信息安全专家宋鑫磊

宋鑫磊首先谈到，供应链安全已成为影响国计民生的重要议题。其中，软件供应链安全作为供应链体系中的重要内容之一，也因开源软件的广泛应用，日益成为企业安全建设中不可或缺的一环。同时，随着监管机构相继出台的安全治理要求与标准，这些标准作为专家群体的智慧成果，为开展软件供应链和开源软件治理提供了丰富可靠的指引。

随后宋鑫磊指出，软件成分分析是软件供应链安全治理的基本动作，但仍面临诸多挑战。为此，他依据对国内外软件成分分析软件厂商的调研，总结提炼出五个方面的重要内容：

1. 依赖识别方面：依赖识别是软件成分分析的核心，为后续的漏洞和许可证分析奠定基础。优秀的软件成分分析工具应当通过结合静态分析或动态分析技术，确保依赖识别结果的准确性。

2. 许可证方面：开源许可证合规是使用开源软件的前提，但许可证种类繁多，国内外检测方法各异，应持续关注学术界对此问题的探索成果。

3. 可达性分析方面：软件成分分析面临高误报问题，导致安全人员告警疲劳。各厂商提出不同的分析方法，虽然大多都基于CallGraph技术实现，但在分析深度及效果方面差异较大，企业在建设时应深入了解。

4. 漏洞分析方面：漏洞本身不是静态的，单纯基于CVSS做优先级排序难以指导实际工作开展，需结合其他信息对漏洞分析结果进行筛选和排序，帮助安全人员快速筛选定位重要安全风险，以实现安全治理的最终目的。

5. 社区分析方面：开源社区是动态变化的，在进行软件成分分析时，需关注使用开源组件的社区动态，从而了解其产品认可度、活跃度等方面的潜在风险。

最后，宋鑫磊强调，保障软件供应链安全不仅局限于源码方面的安全治理，还应关注如分发时的安全可信、安全启动和运行时安全等层面，以构建全链条安全可信环境。

作为我国重要的信息安全基础设施之一，CFCA致力于为各领域企业提供一体化开源软件治理方案，具体包括：开源软件管理制度/组织架构建设咨询、开源软件引入标准管理、开源软件治理工程化培训、开源软件合规性检测等服务。同时，CFCA建设了开源软件自动化检测平台，为客户提供代码溯源、许可证分析、漏洞分析等定制化服务。未来，CFCA将继续坚持自主研发与科技创新，与各界同仁携手，共同推动数字科技产业迈向发展新高地。