摘要:2022年5月,OSCS开源社区软件与墨菲安全正式达成战略合作,OSCS将利用墨菲安全的技术能力,打造开源软件供应链社区,让每一个开源软件变的更安全。
此次合作是OSCS开源社区成立以来最重要的合作之一,OSCS开源社区将使用墨菲安全的技术能力,对市场上的开源项目和组件进行扫描,并通过告知开源贡献者的方式,提醒项目成员们及时进行漏洞修复,并告知下游有引用依赖的开发者们,及时通过OSCS提供的检测工具进行扫描检测,保证项目安全平稳的上线。
同时,墨菲安全将为OSCS提供200万元赞助并提供SCA检测能力,助力OSCS打造成为国内第一家安全的开源软件供应链社区,让开发者们更安全使用开源项目。
据悉,OSCS开源社区目前已经收录了上万的开源项目,并且对这些开源项目进行了检测评分,拥有墨菲安全的技术能力后,检测项目的时间将由原来的分钟级进入秒级检测,一天能检测上千个项目。
OSCS开源社区主要发起人之一章华鹏认为:对于所有的开发者来说,治理开源软件供应链安全有4个关键点:
1、所有开源软件应该明确SBOM清单(软件物料清单),并能够公开公示;
2、开源软件SBOM清单一旦发生变更要实时进行安全漏洞和合规检测;
3、社区一旦曝出新的安全威胁,也需要及时的去检测开源项目是否受到影响;
4、一旦发现存在新的安全漏洞和合规风险,应该及时修复并发布安全版本及安全通告;
基于此,OSCS开源社区通过本次合作,将拥有更加完善的漏洞报告、漏洞知识库与检测能力,同时,OSCS开源社区也将持续保持公益的状态。
墨菲安全表示,目前开源软件供应链的服务主要集中在B端,项目安全也均通过公司高层自上而下进行推动,OSCS开源社区是第一家希望通过提供安全的项目和组件的形式,提升全国上千万的软件开发者们的代码安全和风险意识,引用代码之前,可以去OSCS开源社区去搜一搜,让自己代码更安全。
未来,OSCS将借用墨菲安全提供的软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等能力,打造更安全,更放心的开源软件供应链社区。
