近日,由Linux**主办的2024年开放合规峰会(Open Compliance Summit,OCS)在日本东京举行。 挂镜安全旗下全球极客开源数字链安全社区OpenSCA受邀独家参与并发表了主题为“基于SBOM的开源合规与安全管理”的主题演讲。中国计划与参会方共同应对开源风险治理,充分彰显了挂镜安全在开源治理领域的国际影响力。
OCS是开源领域唯一的国际合规峰会,仅对Linux协会成员和部分受邀者开放,包括IBM、华为、LG电子等国际知名企业。OCS为来自不同公司和背景的参与者提供了一个中立的环境,讨论与数字链管理合规、安全保障等相关的最佳实践(流程、政策、指南、工具等),以确保全球数字链的高效运行。
在活动中,OpenSCA运营负责人齐秋月介绍了SBOM在软件开发生命周期中的应用及其带来的效率和风险。 除了明显的低成本和开放的二次开发外,OpenSCA的应用范围更广,不会局限于单一厂商的视角,可以为用户提供兼容透明、上下游开放的解决方案。
另外OpenSCA重点向与会嘉宾讲解了中国首个数字区块链安全SBOM格式DSDX。DSDX基于OpenCSA社区大量用户的实践,因此OpenSCA联合权威研究机构、甲方用户、开源中国、中国电信研究院、中兴通讯等安全厂商,共同推出更适合中国企业实际应用和实践场景的SBOM格式。
同时,DSDX 将最小组和扩展组分开,以实现更大的灵活性和更好的维护与SPDX、CyclonedX、SWID三大国际主流标准高度兼容,可通过DSDX ID实现SBOM之间的交叉引用和关联DSDX记录最新的链流信息、可追溯的文件、组件、相关工艺变更及其变更,确保SBOM的修改可追溯到整个过程。
DSDX的核心特点是全场景覆盖、兼容性强、数据首链溯源、自我安全能力强。
1、场景全覆盖:覆盖数字**链全场景,覆盖源码、二进制、镜像等不同阶段的物料清单,全面覆盖组件、漏洞、License等风险,提供更透明的SBOM管理
2、兼容性强:兼容SPDX、cyclonedx、SWID国际标准和国内标准,但既是主流规格,又在最小元素集的基础上扩展了其他元素
3、链数据溯源:涵盖数字化链流信息、可溯源文档、组件、相关流程变更及其**,确保SBOM的修改可全程追溯
4、自我安全性强:物料清单本身符合保密性和完整性的要求,具有真实性验证、防篡改等保护机制。
OpenSCA作为全球首个开源数字链安全社区,多次获得国内外权威机构的认可,先后荣获中国软件博览会“全球十大开源软件产品”、网络安全卓越奖:开源安全金奖(Open Source Security Gold Award)等,OpenSCA深入挖掘隐藏在组件中的各种安全漏洞和开源协议风险, 输出透明的组件资产和漏洞风险清单,持续为企业和个人用户提供低成本、高精度、稳定易用的开源数字软件安全解决方案。