​开源软件的应用非常广泛，在金融、运营商、电力、航空、汽车等行业用户的信息系统底层架构中，均有开源软件的影子。开源软件之间的依赖和调用关系非常复杂，其漏洞的放大作用非常显著，黑客利用开源软件已知漏洞实施攻击的事例屡见不鲜，近年来Struts2、OpenSSL等开源软件频繁爆出高危漏洞，给行业客户带来了广泛的影响。

针对开源软件应用的现状，奇安信全新发布了开源卫士产品。该产品是一款集开源软件识别和安全管控于一体的软件成分分析系统，通过云端分析中心在全球范围内获取开源软件信息和漏洞情报，利用自主研发的开源软件分析引擎为用户提供开源软件识别、开源软件漏洞分析及开源软件漏洞情报获取等功能，帮助行业用户掌握信息系统中的开源组件资产和漏洞情报，降低由开源软件带来的安全风险，保障交付更安全的软件。

随着软件开发过程中开源软件的使用越来越多，开源软件事实上已经成为了软件开发的核心基础设施，开源软件的安全问题应该上升到基础设施安全的高度来对待。而当前的现实情况是，用户在软件开发过程中面临着三大开源软件安全难题：不清楚在开发过程中使用了哪些开源软件，不清楚使用的开源软件中存在哪些安全风险，当有开源软件出现新的漏洞时也不清楚是否会影响到正在运行的信息系统。

这些困难给信息系统的安全风险管控带来了极大的挑战，开源卫士帮助行业用户破解三大开源安全难题：

让用户“看见”信息系统中包含了哪些开源软件

软件开发过程中会引入大量开源软件，但用户的安全管理者或者开发管理者常常不清楚自身的信息系统中到底引入了多少开源软件，引入了哪些开源软件。奇安信开源卫士可以识别软件系统中包含了哪些开源软件以及开源软件之间的关联关系，形成开源软件可视化清单。

让用户“知道”使用的开源软件中存在哪些安全风险

软件中使用的开源软件可能会存在已知安全漏洞，且这些开源软件背后调用或依赖的其他开源软件也可能会存在安全漏洞，这种深层关联下的开源软件漏洞很难通过漏洞扫描工具发现。奇安信开源卫士通过软件成分分析技术可以发现这些隐藏在开源软件背后的深层次安全漏洞，让用户清楚“知道”信息系统中存在多少已知安全漏洞。

让用户“掌握”最新开源软件漏洞情报

用户从海量网络安全情报信息中，获取影响企业自身的开源软件漏洞信息，成本高、难度大。奇安信开源卫士在云端监控众多开源软件漏洞情报来源，通过清洗、匹配、关联等一系列自动化数据分析处理后，向用户及时推送开源软件漏洞信息，让用户及时获取到影响其自身安全的最新开源软件漏洞情报。

奇安信开源卫士是国内首个成熟的商用软件成分分析系统，在多年技术积累基础上，通过开源组件成分分析、依赖分析、特征分析、引用识别等多种技术组合能够精确识别软件中的开源组件信息，技术完全自主创新。

同时，奇安信开源卫士团队还运营着国内规模最大的“开源项目检测计划”，收集了3000多万个开源项目的版本信息，积累了大量的开源软件基础数据。奇安信开源卫士的漏洞信息兼容了国家信息安全漏洞库（CNNVD），能够满足行业用户相应的监管要求。

此外，用户使用的开源软件有时不能通过升级软件版本进行漏洞修复。奇安信开源卫士依托奇安信代码安全实验室专业的漏洞研究能力，可以为用户提供开源软件漏洞危害评级、漏洞补丁分析、漏洞补丁方案等高端漏洞修复咨询服务。

推荐阅读

关于国外知名互联网公司开源软件代码安全缺陷的分析报告

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。