2023年9月14日,华为云正式对外发布CodeArts Governance开源治理服务。这是一款针对软件研发提供的一站式开源软件治理服务,将华为在开源治理上的实践及经验和能力逐步固化在华为云服务上,助力企业更安全、更高效的使用开源软件。
开源软件的使用在当前的软件开发过程中慢慢的变成了不可或缺的一部分,根据最近的一项调查报告数据显示,全球超过90%的企业在其软件开发过程中使用了开源软件。虽然企业使用开源软件在创新共享、灵活定制甚至成本效益等方面拥有优势,但开源软件自身安全状况持续下滑,开源软件的供应链也攻击不断。因此,使用开源软件时,企业要关注如下三个维度的风险:
合法合规风险:开源软件的使用可能涉及到法律和合规方面的风险。例如,某些开源许可证可能要求将软件的源代码公开发布,而如果企业没有遵守这些许可证的条款,则会面临法律纠纷和版权问题。此外,开源软件可能依赖于其他开源软件或专有软件,如果未获得适当的许可证或合规性认证,可能会面临侵权和法律责任。
网络安全风险:由于其开放的特性,开源软件可能容易受到黑客攻击和恶意代码注入。恶意用户可以利用开源软件中的漏洞或弱点来入侵系统、窃取数据或进行其他攻击行为。2021年12月Log4j2被爆出远程代码执行漏洞,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。Log4j2是一个开源的Java日志框架,被广泛用于 Java 应用程序的日志记录和管理,该漏洞被安全专家称为史“史诗级”漏洞,波及全球6万+开源软件,影响70%以上的企业线上业务系统。
供应安全风险:由于开源软件通常是通过社区合作开发,因此可能存在质量不一致、缺乏有责任感的维护者或过度依赖个别贡献者的情况。又或者,已使用的开源软件不继续演进和维护,开源软件的更新和支持受到限制或延迟,导致软件在长期使用中出现问题或安全漏洞无法及时修复。
为了应对这些风险,华为云开源治理服务CodeArts Governance将提供全面的解决方案。
此次服务发布,华为云率先推出二级制成分分析特性,通过如下优势特性,助力企业应对开源风险:
基于二进制的成分分析,无需用户提供源代码,只需上传产品发布包或固件,通过服务的静态分析及特征检测技术,无需构建运行环境或运行程序即可快速分析产品二进制软件包中包含的开源软件及漏洞清单;
License合规性检测:通过评估开源软件许可证的合规性,服务可以检测出是否存在使用违反许可证规定的软件,并帮助企业遵守合规要求,避免潜在的版权侵权和法律纠纷;
开源软件漏洞扫描:通过服务自动扫描和识别软件中存在的开源软件漏洞,并提供详细的漏洞报告和修复建议,帮助客户及时修复漏洞,减少被黑客利用的风险;
安全配置及敏感信息泄露检测:支持识别制品包中硬编码密码、硬编码密钥、弱口令、密码复杂度、证书文件等20余种场景,保护用户的敏感数据不被泄露;
恶意代码检测:内置先进的开源软件恶意代码检测引擎,结合AI等相关检测技术,覆盖恶意命令执行、反弹Shell、混淆加密代码等十余种典型的恶意行为,检测准确率大于95%,优于同类工具。企业在开源软件引用前扫描,可帮助企业及时发现开源软件中的恶意代码,避免恶意威胁流入产品软件;若在版本软件发布前扫描,可帮助企业拦截恶意代码,避免恶意代码流入生产环境,解决企业供应安全风险。
华为云CodeArts Governance二进制的成分分析服务具备超强的兼容性,为用户带来更高的灵活性、便利性和可扩展性。服务支持多种语言编译构建,在多种操作系统或多种CPU架构下生成的二进制文件;同时支持40多种文件系统或文件格式,覆盖主流软件应用场景,确保软件在不同环境中的安全性,减少切换和兼容性问题,提高检测效率。
华为云CodeArts Governance将持续提供更多优秀的实践能力,如源码成分分析、开源元数据管理、软件信息树等,为用户提供全量开源软件资产可视化管理能力,帮助用户更轻松的进行开源软件及漏洞管理。
华为云CodeArts Governance服务已于9月14日正式上线官网,中国站全Region可访问,欢迎华为云新老用户登录体验。
作为全球第二大IT行业出口国,欧洲最大和最有活力的科技中心之一,爱尔兰有欧洲硅谷之称。全球排名前10科技巨头中有9家落户爱尔兰,超过1000家
《Apex英雄》自上线以来就一直有着不低的热度,区别于传统键鼠更有优势的射击游戏,这款游戏可以说为手柄操作的适配下了不少功夫,目前也有
在今年由中国营养学会牵头专家编撰的《中国0~3岁宝宝营养现状与全面营养白皮书》中,科学均衡的喂养方式成为重点。对于7到24个月的宝宝而
如今,随着现代人对生活质量、外在形象的要求越来越高,对美的标准越来越严苛,许多人为了迎合现代社会的极化审美,感慨到:我怎么那么普通
国潮持续升温,有不少国潮品牌以年轻化创新为契机,不断释放出商业潜力、焕发新生机,同时完成了文化价值的传承。不久前,在年轻人聚集的得
随着亚运会日益临近,越来越多的相关活动,让杭州、浙江乃至全国的氛围日渐浓郁。名气电器作为杭州2022年亚运会官方家用厨电独家供应商,也
版权所有 本网本网商业快讯取消华为云发布CodeArts Governance开源治理服务 开源使用更安心
2023年9月14日,华为云正式发布CodeArts Governance开源治理服务。这是一款针对软件研发提供的一站式开源软件治理服务,将华为在开源治理上的实践及经验和能力逐步固化在华为云服务上,助力企业更加安全、更加高效的使用开源软件。
开源软件的使用在当前的软件开发过程中已经成为不可或缺的一部分,根据最近的一项调查报告显示,全球超过90%的企业在其软件开发过程中使用了开源软件。虽然企业使用开源软件在创新共享、灵活定制甚至成本效益等方面拥有优势,但开源软件自身安全状况持续下滑,开源软件的供应链也攻击不断。因此,使用开源软件时,企业要关注如下三个维度的风险:
合法合规风险:开源软件的使用可能涉及到法律和合规方面的风险。例如,某些开源许可证可能要求将软件的源代码公开发布,而若企业没有遵守这些许可证的条款,则会面临法律纠纷和版权问题。此外,开源软件可能依赖于其他开源软件或专有软件,如果未获得适当的许可证或合规性认证,可能会面临侵权和法律责任。
网络安全风险:由于其开放的特性,开源软件可能容易受到黑客攻击和恶意代码注入。恶意用户都能够利用开源软件中的漏洞或弱点来入侵系统、窃取数据或进行其他攻击行为。2021年12月Log4j2被爆出远程代码执行漏洞,没有经过授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。Log4j2是一个开源的Java日志框架,被大范围的使用在 Java 应用程序的日志记录和管理,该漏洞被安全专家称为史“史诗级”漏洞,波及全球6万+开源软件,影响70%以上的企业线上业务系统。
供应安全风险:由于开源软件通常是通过社区合作开发,因此有几率存在质量不一致、缺乏有责任感的维护者或过度依赖个别贡献者的情况。又或者,已使用的开源软件不继续演进和维护,开源软件的更新和支持受到限制或延迟,导致软件在经常使用中出现一些明显的异常问题或安全漏洞无法及时修复。
为了应对这些风险,华为云开源治理服务CodeArts Governance将提供全面的解决方案。
此次服务发布,华为云率先推出二级制成分分析特性,通过如下优势特性,助力企业应对开源风险:
基于二进制的成分分析,无需用户更好的提供源代码,只需上传产品发布包或固件,通过服务的静态分析及特征检测技术,无需构建运行环境或运行程序就可以快速分析产品二进制软件包中包含的开源软件及漏洞清单;
License合规性检测:通过评估开源软件许可证的合规性,服务可以检测出是不是真的存在使用违反许可证规定的软件,并帮企业遵守合规要求,避免潜在的版权侵权和法律纠纷;
开源软件漏洞扫描:通过服务自动扫描和识别软件中存在的开源软件漏洞,并提供详细的漏洞报告和修复建议,帮助客户及时修复漏洞,减少被黑客利用的风险;
安全配置及敏感信息泄露检测:支持识别制品包中硬编码密码、硬编码密钥、弱口令、密码复杂度、证书文件等20余种场景,保护用户的敏感数据不被泄露;
恶意代码检测:内置先进的开源软件恶意代码检测引擎,结合AI等相关检测技术,覆盖恶意命令执行、反弹Shell、混淆加密代码等十余种典型的恶意行为,检测准确率大于95%,优于同类工具。企业在开源软件引用前扫描,可帮企业及时有效地发现开源软件中的恶意代码,避免恶意威胁流入产品软件;若在版本软件发布前扫描,可帮企业拦截恶意代码,避免恶意代码流入生产环境,解决企业供应安全风险。
华为云CodeArts Governance二进制的成分分析服务具备超强的兼容性,为用户所带来更高的灵活性、便利性和可扩展性。服务支持多种语言编译构建,在多种操作系统或多种CPU架构下生成的二进制文件;同时支持40多种文件系统或文件格式,覆盖主流软件应用场景,确保软件在不同环境中的安全性,减少切换和兼容性问题,提高检测效率。
华为云CodeArts Governance将持续提供更多优秀的实践能力,如源码成分分析、开源元数据管理、软件信息树等,为用户更好的提供全量开源软件资产可视化管理能力,帮助用户更轻松的进行开源软件及漏洞管理。
华为云CodeArts Governance服务已于9月14日正式上线官网,中国站全Region可访问,欢迎华为云新老用户登录体验。
