「微源」開(kāi)源軟件可信中心倉(cāng)

—— 提供安全可信的下載源，合規(guī)引入開(kāi)源軟件，從源頭過(guò)濾風(fēng)險(xiǎn)

申請(qǐng) 試用

開(kāi)源軟件存在怎樣的風(fēng)險(xiǎn)？

開(kāi)源軟件具有迭代周期短、模塊數(shù)量多、生產(chǎn)線上化、供應(yīng)全球化、倉(cāng)儲(chǔ)集中化、邊際成本低等特性，且使用路徑包括第三方鏡像倉(cāng)庫(kù)、網(wǎng)盤、論壇、代碼托管平臺(tái)等存在安全隱患的軟件源，極易引入未知風(fēng)險(xiǎn)，如篡改、漏洞、投毒/后門、維護(hù)性中斷、開(kāi)源合規(guī)風(fēng)險(xiǎn)等。

如何管理開(kāi)源軟件的引入？

可信中心倉(cāng)：從眾多可靠源頭獲取開(kāi)源軟件，利用自動(dòng)化工具進(jìn)行持續(xù)評(píng)估，通過(guò)隔離、標(biāo)記等手段實(shí)現(xiàn)開(kāi)源軟件供應(yīng)鏈安全左移，最大程度限制風(fēng)險(xiǎn)引入，對(duì)比高成本的“白名單”方案，可信中心倉(cāng)是企業(yè)和機(jī)構(gòu)管理開(kāi)源軟件的最佳選擇。

產(chǎn)品簡(jiǎn)介 | Product Introduction

「微源」可信中心倉(cāng)從全球篩選高可靠開(kāi)源軟件源，自動(dòng)跟蹤、存儲(chǔ)海量開(kāi)源軟件，并通過(guò)軟件成分分析(Software Composition Analysis)、漏洞情報(bào)比對(duì)、投毒風(fēng)險(xiǎn)識(shí)別、開(kāi)源軟件維護(hù)性評(píng)估、開(kāi)源許可證分析、開(kāi)源軟件簽名驗(yàn)證等多種技術(shù)進(jìn)行持續(xù)評(píng)估與保障。企業(yè)和機(jī)構(gòu)能夠便捷地將「微源」作為開(kāi)源軟件源加入本地軟件制品管理工具或開(kāi)發(fā)環(huán)境，獲得經(jīng)過(guò)評(píng)估的開(kāi)源軟件以及各類相關(guān)實(shí)時(shí)開(kāi)源風(fēng)險(xiǎn)，免除高昂的建設(shè)與維護(hù)投入，實(shí)現(xiàn)主動(dòng)和統(tǒng)一的開(kāi)源軟件管理。

核心功能 | Core functions

依賴關(guān)系分析 識(shí)別開(kāi)源軟件直接依賴與間接依賴關(guān)系，生成物料清單(SBOM)，提升供應(yīng)鏈可見(jiàn)性與自動(dòng)化治理能力
有害軟件隔離 實(shí)時(shí)監(jiān)測(cè)開(kāi)源軟件供應(yīng)鏈投毒情報(bào)，通過(guò)關(guān)系圖譜與AI算法實(shí)現(xiàn)影響范圍判定，并由安全專家進(jìn)行分析驗(yàn)證，及時(shí)隔離有害軟件
持續(xù)跟蹤評(píng)估 基于比NVD更龐大的漏洞情報(bào)知識(shí)庫(kù)，結(jié)合多個(gè)開(kāi)源漏洞風(fēng)險(xiǎn)識(shí)別與分析引擎，實(shí)現(xiàn)對(duì)開(kāi)源軟件的持續(xù)跟蹤與評(píng)估，幫助用戶快速?zèng)Q策

開(kāi)源許可合規(guī) 支持3200+種開(kāi)源許可協(xié)議的識(shí)別與分析，并對(duì)協(xié)議條款進(jìn)行解釋，100%覆蓋OSl(Open Source Initiative)
開(kāi)源軟件評(píng)價(jià) 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)開(kāi)源軟件進(jìn)行綜合評(píng)價(jià)，幫助企業(yè)和機(jī)構(gòu)制定引入標(biāo)準(zhǔn)、優(yōu)化選型和替代策略
重要風(fēng)險(xiǎn)預(yù)警 對(duì)開(kāi)源軟件供應(yīng)鏈進(jìn)行持續(xù)看護(hù)和長(zhǎng)鏈追溯，及時(shí)發(fā)現(xiàn)相關(guān)風(fēng)險(xiǎn)并主動(dòng)預(yù)警，實(shí)現(xiàn)應(yīng)急響應(yīng)能力

技術(shù)指標(biāo) | TECHNICAL INDEX

可支持的開(kāi)源軟件開(kāi)發(fā)語(yǔ)言等

可支持的開(kāi)源軟件操作系統(tǒng)等

| Alpine | Ubuntu

價(jià)值優(yōu)勢(shì) | value advantage

為開(kāi)源軟件供應(yīng)提供連續(xù)性保障
「微源」實(shí)現(xiàn)全球開(kāi)源軟件存儲(chǔ)，在無(wú)法連接海外源的情況下仍可獲得已存儲(chǔ)的版本，保障業(yè)務(wù)連續(xù)性。此外，「微源」通過(guò)大規(guī)模開(kāi)源軟件供應(yīng)鏈分析，識(shí)別關(guān)鍵的開(kāi)源軟件，能對(duì)其停止服務(wù)、中斷供應(yīng)等事件進(jìn)行評(píng)估，協(xié)助搜尋替代方案。

開(kāi)源軟件源頭可信，供應(yīng)鏈安全左移
「微源」在存儲(chǔ)開(kāi)源軟件的同時(shí)，即通過(guò)多種分析引擎，完成對(duì)開(kāi)源軟件篡改、漏洞、投毒/后門、維護(hù)性中斷、開(kāi)源合規(guī)風(fēng)險(xiǎn)等全量風(fēng)險(xiǎn)的評(píng)估。提前隔離有害開(kāi)源軟件，并幫助企業(yè)和機(jī)構(gòu)在開(kāi)源軟件引入之前知悉其安全狀況，將風(fēng)險(xiǎn)拒之門外。

協(xié)助開(kāi)源軟件選型與生命周期管理決策
「微源」擁有實(shí)時(shí)更新的全球風(fēng)險(xiǎn)情報(bào)知識(shí)庫(kù)，對(duì)各類開(kāi)源風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)，幫助企業(yè)和機(jī)構(gòu)及時(shí)掌握待引入或已經(jīng)引入的開(kāi)源軟件綜合風(fēng)險(xiǎn)，為開(kāi)源軟件選型停用與替換提供決策依據(jù)。

降低開(kāi)源治理成本，避免重復(fù)建設(shè)投入
「微源」將需要大量數(shù)據(jù)與工具支撐的評(píng)估分析工作前置，提供安全可信的開(kāi)源軟件以及各維度評(píng)估結(jié)果，免除本地建設(shè)和維護(hù)成本，并讓用戶能夠通過(guò)評(píng)估結(jié)果快速進(jìn)行開(kāi)源治理與決策。

聯(lián)合權(quán)威機(jī)構(gòu)共同進(jìn)行源頭治理
「微源」充分發(fā)揮重大基礎(chǔ)設(shè)施的數(shù)據(jù)情報(bào)優(yōu)勢(shì)與技術(shù)能力優(yōu)勢(shì)，聯(lián)合權(quán)威安全評(píng)測(cè)機(jī)構(gòu)，為企業(yè)和機(jī)構(gòu)提供可信、安全、高效的開(kāi)源軟件中心倉(cāng)服務(wù)，幫助建立開(kāi)源軟件可信供應(yīng)長(zhǎng)效機(jī)制，提升開(kāi)源軟件供應(yīng)鏈彈性與可靠性。

基于開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，保障軟件供給安全

*「源圖」是我國(guó)首個(gè)開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，包含國(guó)內(nèi)已知規(guī)模最大的開(kāi)源軟件供應(yīng)鏈數(shù)據(jù)集與知識(shí)圖譜，通過(guò)持續(xù)采集、監(jiān)測(cè)和分析全球開(kāi)源軟件，已幫助國(guó)內(nèi)近百家企業(yè)和機(jī)構(gòu)實(shí)現(xiàn)更完善的開(kāi)源治理。