当前位置:首页 > 厂商动态 > 新思科技(Synopsys)
[导读]夯实安全基础,提升“软实力”


人工智能、云计算、大数据等技术的核心都是软件,可以说软件是新一代信息技术的底座。在中国《“十四五”软件和信息技术服务业发展规划》中重点突出了开源相关内容。开源能加速软件迭代升级,推动产业生态完善。因此,做好开源治理,才能有效提升“软实力”。

随着中国数字化转型进程稳步推进,软件已经成为业务运营的必备要素之一,并渗透到几乎所有的重要行业和领域。同时,软件设计开发愈加复杂,软件供应链安全防护难度持续加大。新思科技(Synopsys)指出,软件供应链安全直接关系到关键基础设施安全,影响着企业发展和普通民众的生活。促进软件供应链安全成为社会的关注焦点。提起软件供应链,不得不提开源组件,因为开源组件在现代软件开发中可以说是无处不在。

新思科技开源治理专家王永雷表示:“《开源安全和风险分析》报告(OSSRA)显示,被审计的代码库中开源代码比例从2016年的36%增加到2021年的78%。可见,软件继续引领世界,开源引领软件。近年来,开源安全问题频发,比如黑客利用Docker镜像的攻击、开发人员蓄意破坏开源库等, Apache Log4j程序中发现的零日漏洞更是业界的‘核爆级’事件。提升开源软件治理水平,才可以帮助企业保障软件供应链安全。”

新思科技助力加速软件产业链现代化发展

王永雷指出开源软件治理水平主要分成四个阶段。

自发式开源治理,有意识地去修复开源漏洞

新思科技在《保护供应链安全的六个考虑因素》白皮书中强调“您有责任跟踪供应链中的开源组件、许可证和漏洞及其相关风险”。

很多企业都是在使用开源组件的过程中发现存在安全漏洞,才去进行治理工作。甚至有时候企业的客户已经受到了开源漏洞的影响,才进行补救工作。这样的开源治理处于起步的阶段。

对于软件供应链而言,整个过程中所涉及的每个组件、人员、活动、材料或程序都会对最终产品及其用户产生影响。企业应该在开发、测试、生产等各个环节进行开源治理。而开源治理的范围和维度等可以根据开源组件使用的广度和深度而调整,应该是一个动态、系统化的管理。

积极引入工具和流程规范,进行综合治理

开发人员可能会无意地将包含有风险的开源组件引入其项目之中。但这通常不会引起注意。随着开源使用越来越多,治理也越来越复杂。因此,企业需要引入自动化工具和流程规范,以进行综合治理,提升开源治理的效率。

但是,往往这种治理只停留在开发团队,并没有推广到整个公司。开源风险不止是安全漏洞,还包括监管合规风险、版权侵权、运营风险等等。妥善管控这些风险需要多部门协作,进行战略性管理。

建立可信的开源自动化合规、安全治理平台

新思科技Black Duck软件组成分析在中国已经拥有了广泛的用户群。根据多年的经验,新思科技看到中国企业越来越注重版权和合规,而且已经从被动式的治理转向主动式的治理。

主动式开源治理最重要的一点是需要企业高层对此予以重视和支持,并且自上而下地打破壁垒。有的企业成立了“开源办公室”,汇集法务、安全和技术等专家,提供一揽子指导,推动落实最佳实践,形成良性的互动。通常,企业会建立一个自动化的开源合规、安全治理平台,相关人员可以在这个统一的平台上进行协作,比如利用开源工具对正在开发的软件进行自动化扫描。

借助评估标准的度量,持续提升开源软件治理水平

无论是开源治理还是其它软件安全计划,都需要一个标尺来衡量成果。度量的内容包括修复开源组件漏洞的时间周期;开源组件的高风险的比例;以及不同版本修复的比例趋势等。这可以帮助管理团队做出更好的判断和决策,以查漏补缺,持续提升开源组件的安全性和合规性。

近年来,开源安全已经受到越来越多的重视。相关行业机构也发布了参考标准和指南,帮助企业有序、有效地管理开源组件。中国信息通信研究院(以下简称“信通院”)牵头编写了一系列开源安全相关的报告,包括近期发布的《开源安全深度观察报告》和《开源合规指南(企业版)》。新思科技是两份报告的参编单位之一。

《开源安全深度观察报告》梳理了主流的开源安全风险,从开源社区和开源用户两个角度提供开源安全的防范建议;《开源合规指南(企业版)》侧重研究国内外开源合规发展现状,通过分享理论知识与优秀实践,旨在帮助企业提升内部开源合规管控能力。

新思科技中国区软件应用安全技术总监杨国梁总结道:“软件定义创新活力,安全是根基。中国工业和信息化部印发的《“十四五”软件和信息技术服务业发展规划》也明确了提升软件产业链现代化水平的要求。作为软件供应链的重要一环,开源安全对产业链升级的影响举足轻重。当然,提升开源治理水平不会一蹴而就,不能仅仅依靠一项技术或者某个流程就能快速实现。这是一个系统化工程,需要整体策略,从企业文化、开源工具、标准等多个方面循序渐进。随着开源治理水平的提高,企业可以有效规避风险,促进供应链安全。”

新思科技助力加速软件产业链现代化发展

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

业内消息,近日芯片设计软件制造商Synopsys表示,将通过价值350亿美元的现金加股票交易收购EDA厂商Ansys 。该交易完成的话将是自芯片制造商博通以来科技领域最大的收购案,博通去年以690亿美元的交易收购了软件制...

关键字: 新思科技 Synopsys 收购 EDA Ansys

该AI驱动型数据分析解决方案能够挖掘未开发的、具有可操作的洞察,以提高芯片设计、制造、测试和现场部署的效率  摘要:  全面的AI驱动型数据分析解决方案可整合并利用IC设计、测试和制造流程中...

关键字: EDA SYNOPSYS 大数据分析 新思科技

(全球TMT2023年8月24日讯)新思科技(Synopsys, Inc.)宣布已经完成对PikeTec GmbH的收购。PikeTec是汽车控制单元系统软件测试和验证解决方案的领导者之一。软件定义汽车(SDVs)的出...

关键字: 新思科技 TE PI SYNOPSYS

加利福尼亚州桑尼维尔2023年8月30日 /美通社/ -- 新思科技(Synopsys, Inc.,纳斯达克股票代码:SNPS)近日宣布,已经完成对汽车控制单元软件测试和验证解决方案领导者PikeTec GmbH的收购。...

关键字: 自动驾驶 新思科技 TE PI

(全球TMT2023年7月28日讯)新思科技(Synopsys, Inc.)近日宣布,其搭载了Synopsys.ai全栈式AI驱动型EDA解决方案的数字和定制设计流程已经通过英特尔代工服务(IFS)的Intel 16制...

关键字: EDA Intel 新思科技 IP

基于台积公司N3E工艺的广泛IP组合能够助力AI、移动和HPC 等新兴领域实现业界领先的功耗、性能和面积(PPA) 要点:  基于台积公司N3E工艺技术的新思科技IP能够为希望降低集成风险并...

关键字: 芯片设计 新思科技 IP BSP

新思科技业界领先的EDA和IP全方位解决方案与Arm全面计算解决方案强强结合,助力生态系统应对多裸晶芯片系统设计挑战

关键字: ARM SoC 新思科技

开源可以有助于降低成本和提高开发效率,但是开源从来不等于免费。如果企业对开源使用管理不当,造成经济和声誉损失的风险极高。企业需要制定开源战略并落实安全计划,采用可信的开源管理工具,支持整个软件开发生命周期的开源治理。

关键字: 新思科技 开源软件 云计算

软件驱动世界,软件开发的要求越来越高。为了按时交付软件,开发和运维工作必须紧密协作,DevOps应运而生。此外,随着安全的重要性日益凸显,DevSecOps 成为很多企业的安全策略。当然,并不会有一个开关,可以将 Dev...

关键字: 新思科技 软件 DevOps 自动化

中国正在把发展经济的着力点放在实体经济上,加快建设网络强国、数字中国。同时,数字经济与各种产业叠加,赋予数字化力量,可以提升实体经济的产业优势,促进产业迈向高质量。对此,新思科技强调,数字赋能,安全先行。把安全贯穿在数字...

关键字: 新思科技 软件安全
关闭