近日,上海安势信息技术有限公司(下称安势信息)对外宣布正式成为DevSecOps领域中国首家OpenChain项目会员。安势信息将同高通、谷歌、微软等其他全球企业共建可信、安全的软件供应链,共同维护开源许可证合规领域的国际标准OpenChain ISO/IEC 5230。作为中国市场领先的软件供应链安全治理工具提供商,安势信息的加入标志着市场在自主选择安全、许可证合规的工具等方面又迈出了重要一步。
OpenChain项目是由Linux基金会发起的一项旨在制定开源软件供应链标准,帮助全球企业更高效地解决开源许可证一致性的问题。
安势信息创始人兼总裁薛植元表示:"我们很高兴在开源生态领域与全球其他成员一起加入OpenChain。从2016年开始,OpenChain一直致力于为市场上不同规模的企业提供可信赖与合规一致的开源供应链。安势信息将携手OpenChain,在工具、培训、研究、最佳实践和咨询方面,为开源社区做出持续贡献。开源社区和OpenChain的协作基因也将有助于我们协调和利用业内最佳资源。我们相信,这样的紧密合作将会让软件供应链变得更加安全和可靠。"
在混源开发不可避免的同时,一系列的安全和合规风险也伴随着整个软件开发生命周期,并影响着整个软件供应链。安势信息以行业领先的SCA产品作为切入点,围绕DevSecOps流程,从工具到流程再到组织,坚持持续创新,打造独具特色的端到端最佳实践。经过团队成员多年的持续积累,安势信息目前已与多家高科技头部企业建立了深厚的合作关系。
"就人口而言,中国是世界上最大的单一市场,也是全球供应链中最重要的一部分,"OpenChain的总经理Shane Coughlan说到:"安势信息代表了围绕开源的本土企业领先实力的发展。与产品交付能力紧密相关的是,产品的支持与服务流程需要不断改善。在这个十年的开端,SCA一直是开源供应链中重要的组成部分,在未来几年里,它仍将是至关重要的。"
在随后OpenChain组织召开的第42期线上研讨会上,上海安势信息技术有限公司(下称安势信息)的技术市场总监王峰受邀出席并发表名为《SCA厂商在中国市场面临的机遇与挑战》的全英文主题演讲。
王峰发表名为《SCA厂商在中国市场面临的机遇与挑战》的全英文主题演讲
王峰拥有威斯康星大学麦迪逊分校电子工程学士、宾夕法尼亚大学电子工程硕士学位,曾担任美国有线电视运营商Comcast高级软件工程师,负责网络自动化软件开发等工作,作为企业内部开源贡献者(Innersource Contributor)将项目和软件在企业内部进行分享使用。他在美国工作学习11年,在感受到开源软件在中国市场的蓬勃发展后,王峰选择回国并加入安势信息。
正如王峰在《SCA厂商在中国市场面临的机遇与挑战》主题演讲中提到的,开源软件在中国市场经历了由萌芽到蓬勃发展的阶段。
开源软件在中国的缘起、落地及发展
中国的开源软件产业相较于欧美发达国家而言起步相对较晚,大致经历了从萌芽、云计算&人工智能加速落地和高速发展的三个阶段。目前,中国已经逐步建立了相对成熟的开源生态系统。
在中国的开源生态领域,由云计算、科技企业孵化、创办的开源企业/项目和由开发者社区、代码托管平台、开源基金会、开源联盟共同构成了开源软件市场的参与主体。
中国企业在积极参与全球开源生态建设的过程中,影响力与日俱增。截止目前GitHub有755万名中国开发者,人数位居全球第二;更多的中国企业进入全球开源领域行业的前列;中国正成为全球开发者社区中不可忽视的重要力量。
此外,在这一时期,中国本土创办了很多的开源组织和社区,企业积极捐献开源项目,相关开源基金会的成立,共同推动中国开源产业发展壮大。安势信息此次加入OpenChain,很荣幸能与中国信通院、华为和OPPO等伙伴共建可信、安全的软件供应链。
开源产业同样引起了国家层面的高度重视。政府将开源明确列入"十四五"规划中,并从法律层面明确加强对知识产权的保护。一些因违反开源许可证使用协议( 例如: GPL 3.0 ) 引发的版权纠纷案也引起了企业对开源许可证合规的重视。
国内的开源生态发展经历了一个从无都有,再到蓬勃发展过程,对全球开源的贡献和影响力也会越来越大。
SCA的发展 挑战与机遇并存
Apache Log4j漏洞事件的爆发,让开源软件供应链安全的话题热度持续走高的同时,也为网络安全市场吹来了新的风向。随着开源风险的持续扩大,SCA(Software Composition Analysis,软件成分分析)正在得到更广泛的应用。
为了在SCA产品需求爆发式增长的市场中抢占高地,应用安全赛道涌现了一大批新的SCA厂商。据统计,中国SCA初创公司的数量较去年增长了1倍,资本也纷纷入局,开源领域的融资案例数量和资金总额不断创新高。
放眼全球,当前国内企业在软件安全方面的资金投入仅占全球企业软件安全平均投入金额的三分之一,中国网络安全市场的空间巨大。
随后,王峰分别从政治、经济、文化和技术四个角度分别阐释了SCA厂商当前面临的机遇和挑战。机遇来自于在国家产业转型升级的大环境下,政府对开源产业高度重视,相关政策和知识产权法律保护水平都有了显著提升。
关于SCA厂商面临的挑战,王峰分别列举了本土SCA厂商和海外SCA厂商亟需解决的问题并展开说明。中国开源软件产业起步相对较晚,相关专业技术人才相对匮乏;另一方面,企业对开源合规的重要性认识还不够;很多厂商提供的SCA工具往往更多的是基于安全而非合规,对于提供成熟的开源合规治理工具方面仍有很多经验需要积累
海外SCA厂商在进入中国市场时也同样面临挑战。例如:对本地支持较弱,不能提供二次开发服务,缺少灵活性;而随着SaaS技术的发展,海外SCA供应商也在逐渐减少对本地化部署的支持,不能满足部分有本地化部署需求的用户;或因为一些其他因素对国内客户断供,无法为国内企业提供持续可靠的支持。
以上的外部因素和内部因素共同构成了中国SCA厂商面临的机遇与挑战。
拥抱开源,携手OpenChain共建开源生态
作为中国市场领先的软件供应链安全治理工具提供商,安势信息加入OpenChain组织,将极大地促进开源许可证合规领域的国际标准OpenChain ISO/IEC 5230在中国市场的推广,并帮助其在企业落地实施。
同时,作为OpenChain的一员,安势信息将持续对市场输出建立安全、可靠软件供应链的重要性的理念,不断提高市场对SCA工具和开源合规的重要性的认识。
安势信息在高速发展的同时,一直高度重视与开源生态各领域的协作。公司近期也加入了OpenSSF (开源软件安全基金会),有幸成为国内第一家加入该基金会的SCA厂商。并放眼全球,与全球领先的国际开源组织和微软、谷歌、华为等伙伴一起携手共建安全可靠的开源软件供应链。
以技术为导向,以客户为中心。安势信息始终相信市场和客户才是我们保持创新性和先进性的源泉和基石。"正本清源,不止于安全",安势信息将坚持在软件供应链风险治理上持续发力,不断完善产品和最佳实践。未来,安势信息将携手OpenChain,持续提升市场和企业对SCA关注和投入,更加紧密地拥抱开源。