由工业和信息化部、深圳市人民政府主办，中国互联网协会、广东省通信管理局、深圳市工业和信息化局等单位承办的2022（第二十一届）中国互联网大会于2022年11月15-17日在深圳国际会展中心举办，大会主题为“发展数字经济 促进数字文明”。湖南泛联新安信息科技有限公司受邀参加，并出席“互联网创新和知识产权保护论坛”做主题演讲。

“互联网创新和知识产权保护论坛”作为本届中国互联网大会的分论坛之一，由中国信息通信研究院、中国互联网协会知识产权工作委员会等单位合办，聚焦当前互联网领域创新热点、竞争态势、开源治理以及知识产权保护的现状和问题，为促进互联网企业自律、保障互联网领域公平竞争，营造知识产权保护新态势，搭建全方位的沟通交流和成果展示平台。

泛联新安在会上做了名为《软件供应链风险及开源软件治理技术》的主题演讲，并隆重宣布UniSCA软件供应链安全管理平台正式上线。

目前，混源开发已成为全球软件研发的主流模式，在软件开发与使用的过程中，开源组件复用情况广泛存在。据研究表明，在商业软件的代码库中，已有高达96%的软件引入了开源组件。在开源代码和开源组件广泛使用的今天，开源漏洞攻击逐年递增、安全合规问题频发。这给企业软件供应链引入了开源漏洞、知识产权许可、政府出口管制三大风险。

现在软件供应链风险管控面临两大严峻挑战：一是只检测不修复，二是缺乏全面的软件供应链安全管理能力。由于缺乏自动化分析方法和分析工具，所以检测准确率、检测效率、信息利用率都较低。

当前市场上的软件成分分析（SCA）工具普遍数据垂直细分专业度不足，且往往都是依赖分析套壳使用，很难从软件供应链的整体流程角度把控安全风险。

为了应对上述挑战，泛联新安自主研发了拥有完全自主知识产权的软件成分分析（SCA）产品——UniSCA软件供应链安全管理平台，并已应用于多维场景中，包含金融机构、政府部门、能源行业等各个领域。尤其在开源软件漏洞扫描、许可证合规检测、代码审计、台账管理、开源组件准入退出等功能方面，可帮助政企及个人用户实现安全左移，提升自身的开源安全能力。在规避开源风险的前提下，无感化集成至原有的CICD管道，避免“安全增压”的出现，不影响企业兼容系统的高效性与可靠性。

UniSCA 基于大数据与人工智能技术，致力于保证开源组件、自研组件、商用组件的使用安全与合规管理。同时，UniSCA已集成二进制Bingem分析引擎，可实现自动化二进制同源分析。目前Bingem引擎的逆向分析、跨编译和跨架构的同源识别能力已经取得了技术性突破进展，功能达到业界一流水平。

UniSCA通过项目管理、资产管理、人员管理、组件使用台帐、制品仓出入库等功能，能将供应链安全贯穿从项目立项，开发阶段到发布上线整个SDLC全流程。

最后，UniSCA可从内控和外防两方面助力软件供应链安全。
内控方面，UniSCA支持软件资产管理，实时监控所有软件的迭代部署、帮助企业梳理软件资产。通过项目审核审批机制，梳理与建立开源台账。同时对于开源组件引入退出机制做了明确的质量阀管理，提供制品库管理与组件黑白名单，减少冗余并消除误报，使用户能够专注于重要事件。

外防方面，UniSCA支持SPDX格式SBOM的导入与导出，同时具备完善的安全风险预警，可对漏洞安全与断供风险进行实时监测和预警，从源头把控软件供应链安全风险，降低修复成本，增强企业软件供应链的强度及韧性。

开发者和企业可以通过UniSCA全方位多维度深层次的构建软件供应链安全屏障，增加开源组件和项目的可利用性，减少潜在的安全合规风险。