近日,由Linux**主辦的2024年開放合規峰會(Open Compliance Summit,OCS)在日本東京舉行。 掛鏡安全旗下全球極客開源數字鏈安全社群OpenSCA受邀獨家參與並發表了主題為“基於SBOM的開源合規與安全管理”的主題演講。中國計畫與參會方共同應對開源風險治理,充分彰顯了掛鏡安全在開源治理領域的國際影響力。
OCS是開源領域唯一的國際合規峰會,僅對Linux協會成員和部分受邀者開放,包括IBM、華為、LG電子等國際知名企業。OCS為來自不同公司和背景的參與者提供了乙個中立的環境,討論與數字鏈管理合規、安全保障等相關的最佳實踐(流程、政策、指南、工具等),以確保全球數字鏈的高效執行。
在活動中,OpenSCA運營負責人齊秋月介紹了SBOM在軟體開發生命週期中的應用及其帶來的效率和風險。 除了明顯的低成本和開放的二次開發外,OpenSCA的應用範圍更廣,不會侷限於單一廠商的視角,可以為使用者提供相容透明、上下游開放的解決方案。
另外OpenSCA重點向與會嘉賓講解了中國首個數字區塊鏈安全SBOM格式DSDX。DSDX基於OpenCSA社群大量使用者的實踐,因此OpenSCA聯合權威研究機構、甲方使用者、開源中國、中國電信研究院、中興通訊等安全廠商,共同推出更適合中國企業實際應用和實踐場景的SBOM格式。
同時,DSDX 將最小組和擴充套件組分開,以實現更大的靈活性和更好的維護與SPDX、CyclonedX、SWID三大國際主流標準高度相容,可通過DSDX ID實現SBOM之間的交叉引用和關聯DSDX記錄最新的鏈流資訊、可追溯的檔案、元件、相關工藝變更及其變更,確保SBOM的修改可追溯到整個過程。
DSDX的核心特點是全場景覆蓋、相容性強、資料首鏈溯源、自我安全能力強。
1、場景全覆蓋:覆蓋數字**鏈全場景,覆蓋原始碼、二進位、映象等不同階段的物料清單,全面覆蓋元件、漏洞、License等風險,提供更透明的SBOM管理
2、相容性強:相容SPDX、cyclonedx、SWID國際標準和國內標準,但既是主流規格,又在最小元素集的基礎上擴充套件了其他元素
3、鏈資料溯源:涵蓋數位化鏈流資訊、可溯源文件、元件、相關流程變更及其**,確保SBOM的修改可全程追溯
4、自我安全性強:物料清單本身符合保密性和完整性的要求,具有真實性驗證、防篡改等保護機制。
OpenSCA作為全球首個開源數字鏈安全社群,多次獲得國內外權威機構的認可,先後榮獲中國軟體博覽會“全球十大開源軟體產品”、網路安全卓越獎:開源安全金獎(Open Source Security Gold Award)等,OpenSCA深入挖掘隱藏在元件中的各種安全漏洞和開源協議風險, 輸出透明的元件資產和漏洞風險清單,持續為企業和個人使用者提供低成本、高精度、穩定易用的開源數字軟體安全解決方案。