綠盟科技入選WG10工作組“第一批開源治理系列實踐案例”

為深入貫徹落實《關于規范金融業開源技術應用與發展的意見》、《金融科技發展規劃（2022-2025年）》，支撐證券基金行業開源生態建設，助力用戶單位做好開源治理相關工作，證券基金行業信息技術應用創新聯盟開源軟件與供應鏈安全工作組（WG10工作組）開展了開源治理系列實踐案例征集活動。經過三輪的綜合評估和調研，綠盟科技成功入選。

圖片來源：CIC軟件視界

綠盟科技開源軟件安全產品、服務、解決方案

背景介紹

開源組件在代碼安全審計中的占比逐年攀升。第三方組件、開發工具、交付過程、運行過程等都可能受到漏洞威脅或者惡意攻擊，導致信息安全事件發生。基于此，現有傳統的網絡安全管理辦法更需順應時代發展進行調整與更新。

綠盟代碼安全審計系統（SDA）是一款集軟件組成分析和靜態應用程序安全測試能力的代碼安全審計系統。系統支持開源組件資產識別、軟件物料清單SBOM管理、開源許可證識別、漏洞識別和二進制文件分析。通過該系統，幫助客戶提高軟件資產透明度，掌握開源組件資產臺賬情況，了解其中的漏洞風險和開源許可風險，對緊急爆發的0day組件和漏洞快速響應，從源代碼層面保障產品安全。

應用范圍

（1）面向擁有龐大數字化信息系統企業。這類企業管理著成百上千的軟件元素，內部軟件體系由商業軟件包和定制構建的代碼庫共同組成，軟件系統復雜。因此當軟件產品需要快速上線時，高效解決軟件代碼安全、法律遵從等問題尤為重要。

（2）面向廣泛應用開源技術的企業。

核心優勢

近年來，數據安全得到廣泛關注，在數據產生、采集、加工、存儲、應用到銷毀的全過程中，都可能會引入各種安全相關的問題。對數據的正確訪問、數據泄露防護、敏感數據的加密等手段，能夠有效保護數據安全。

綠盟科技聚焦開源軟件，針對性提出軟件供應鏈安全治理服務方案，通過推進軟件生命周期全流程安全管控的落地實踐，從軟件生命周期的源頭保障軟件供應鏈安全；通過建立軟件開發過程中保障軟件供應鏈安全的體系化方法，盡可能避免軟件的安全缺陷，保證軟件供應鏈安全。