上海2022年6月6日 /美通社/ -- 近日,上海安勢信息技術(shù)有限公司(下稱安勢信息)對外宣布正式成為DevSecOps領(lǐng)域中國首家OpenChain項目會員���。安勢信息將同高通、谷歌���、微軟等其他全球企業(yè)共建可信、安全的軟件供應(yīng)鏈�,共同維護(hù)開源許可證合規(guī)領(lǐng)域的國際標(biāo)準(zhǔn)OpenChain ISO/IEC 5230���。作為中國市場領(lǐng)先的軟件供應(yīng)鏈安全治理工具提供商����,安勢信息的加入標(biāo)志著市場在自主選擇安全�����、許可證合規(guī)的工具等方面又邁出了重要一步����。
OpenChain項目是由Linux基金會發(fā)起的一項旨在制定開源軟件供應(yīng)鏈標(biāo)準(zhǔn)���,幫助全球企業(yè)更高效地解決開源許可證一致性的問題�����。
安勢信息創(chuàng)始人兼總裁薛植元表示:"我們很高興在開源生態(tài)領(lǐng)域與全球其他成員一起加入OpenChain���。從2016年開始���,OpenChain一直致力于為市場上不同規(guī)模的企業(yè)提供可信賴與合規(guī)一致的開源供應(yīng)鏈。安勢信息將攜手OpenChain�����,在工具�、培訓(xùn)��、研究��、最佳實踐和咨詢方面,為開源社區(qū)做出持續(xù)貢獻(xiàn)��。開源社區(qū)和OpenChain的協(xié)作基因也將有助于我們協(xié)調(diào)和利用業(yè)內(nèi)最佳資源�。我們相信�����,這樣的緊密合作將會讓軟件供應(yīng)鏈變得更加安全和可靠����。"
在混源開發(fā)不可避免的同時,一系列的安全和合規(guī)風(fēng)險也伴隨著整個軟件開發(fā)生命周期�,并影響著整個軟件供應(yīng)鏈����。安勢信息以行業(yè)領(lǐng)先的SCA產(chǎn)品作為切入點�,圍繞DevSecOps流程��,從工具到流程再到組織�,堅持持續(xù)創(chuàng)新����,打造獨具特色的端到端最佳實踐�。經(jīng)過團(tuán)隊成員多年的持續(xù)積累,安勢信息目前已與多家高科技頭部企業(yè)建立了深厚的合作關(guān)系����。
"就人口而言��,中國是世界上最大的單一市場����,也是全球供應(yīng)鏈中最重要的一部分,"OpenChain的總經(jīng)理Shane Coughlan說到:"安勢信息代表了圍繞開源的本土企業(yè)領(lǐng)先實力的發(fā)展�。與產(chǎn)品交付能力緊密相關(guān)的是�,產(chǎn)品的支持與服務(wù)流程需要不斷改善���。在這個十年的開端���,SCA一直是開源供應(yīng)鏈中重要的組成部分��,在未來幾年里�,它仍將是至關(guān)重要的����。"
在隨后OpenChain組織召開的第42期線上研討會上����,上海安勢信息技術(shù)有限公司(下稱安勢信息)的技術(shù)市場總監(jiān)王峰受邀出席并發(fā)表名為《SCA廠商在中國市場面臨的機(jī)遇與挑戰(zhàn)》的全英文主題演講。
王峰發(fā)表名為《SCA廠商在中國市場面臨的機(jī)遇與挑戰(zhàn)》的全英文主題演講
王峰擁有威斯康星大學(xué)麥迪遜分校電子工程學(xué)士�����、賓夕法尼亞大學(xué)電子工程碩士學(xué)位�����,曾擔(dān)任美國有線電視運營商Comcast高級軟件工程師�����,負(fù)責(zé)網(wǎng)絡(luò)自動化軟件開發(fā)等工作��,作為企業(yè)內(nèi)部開源貢獻(xiàn)者(Innersource Contributor)將項目和軟件在企業(yè)內(nèi)部進(jìn)行分享使用���。他在美國工作學(xué)習(xí)11年,在感受到開源軟件在中國市場的蓬勃發(fā)展后�����,王峰選擇回國并加入安勢信息�����。
正如王峰在《SCA廠商在中國市場面臨的機(jī)遇與挑戰(zhàn)》主題演講中提到的�����,開源軟件在中國市場經(jīng)歷了由萌芽到蓬勃發(fā)展的階段�����。
開源軟件在中國的緣起、落地及發(fā)展
中國的開源軟件產(chǎn)業(yè)相較于歐美發(fā)達(dá)國家而言起步相對較晚����,大致經(jīng)歷了從萌芽�、云計算&人工智能加速落地和高速發(fā)展的三個階段。目前�,中國已經(jīng)逐步建立了相對成熟的開源生態(tài)系統(tǒng)�����。
在中國的開源生態(tài)領(lǐng)域�����,由云計算�、科技企業(yè)孵化�、創(chuàng)辦的開源企業(yè)/項目和由開發(fā)者社區(qū)����、代碼托管平臺、開源基金會��、開源聯(lián)盟共同構(gòu)成了開源軟件市場的參與主體�。
中國企業(yè)在積極參與全球開源生態(tài)建設(shè)的過程中,影響力與日俱增����。截止目前GitHub有755萬名中國開發(fā)者����,人數(shù)位居全球第二;更多的中國企業(yè)進(jìn)入全球開源領(lǐng)域行業(yè)的前列�����;中國正成為全球開發(fā)者社區(qū)中不可忽視的重要力量�。
此外�����,在這一時期�����,中國本土創(chuàng)辦了很多的開源組織和社區(qū)�,企業(yè)積極捐獻(xiàn)開源項目����,相關(guān)開源基金會的成立���,共同推動中國開源產(chǎn)業(yè)發(fā)展壯大。安勢信息此次加入OpenChain�,很榮幸能與中國信通院��、華為和OPPO等伙伴共建可信、安全的軟件供應(yīng)鏈���。
開源產(chǎn)業(yè)同樣引起了國家層面的高度重視。政府將開源明確列入"十四五"規(guī)劃中�,并從法律層面明確加強(qiáng)對知識產(chǎn)權(quán)的保護(hù)��。一些因違反開源許可證使用協(xié)議( 例如: GPL 3.0 ) 引發(fā)的版權(quán)糾紛案也引起了企業(yè)對開源許可證合規(guī)的重視�����。
國內(nèi)的開源生態(tài)發(fā)展經(jīng)歷了一個從無都有,再到蓬勃發(fā)展過程�,對全球開源的貢獻(xiàn)和影響力也會越來越大���。
SCA的發(fā)展 挑戰(zhàn)與機(jī)遇并存
Apache Log4j漏洞事件的爆發(fā),讓開源軟件供應(yīng)鏈安全的話題熱度持續(xù)走高的同時�,也為網(wǎng)絡(luò)安全市場吹來了新的風(fēng)向��。隨著開源風(fēng)險的持續(xù)擴(kuò)大����,SCA(Software Composition Analysis��,軟件成分分析)正在得到更廣泛的應(yīng)用�。
為了在SCA產(chǎn)品需求爆發(fā)式增長的市場中搶占高地,應(yīng)用安全賽道涌現(xiàn)了一大批新的SCA廠商���。據(jù)統(tǒng)計,中國SCA初創(chuàng)公司的數(shù)量較去年增長了1倍�����,資本也紛紛入局�,開源領(lǐng)域的融資案例數(shù)量和資金總額不斷創(chuàng)新高�����。
放眼全球,當(dāng)前國內(nèi)企業(yè)在軟件安全方面的資金投入僅占全球企業(yè)軟件安全平均投入金額的三分之一�����,中國網(wǎng)絡(luò)安全市場的空間巨大�����。
隨后��,王峰分別從政治���、經(jīng)濟(jì)、文化和技術(shù)四個角度分別闡釋了SCA廠商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)����。機(jī)遇來自于在國家產(chǎn)業(yè)轉(zhuǎn)型升級的大環(huán)境下���,政府對開源產(chǎn)業(yè)高度重視,相關(guān)政策和知識產(chǎn)權(quán)法律保護(hù)水平都有了顯著提升�。
關(guān)于SCA廠商面臨的挑戰(zhàn),王峰分別列舉了本土SCA廠商和海外SCA廠商亟需解決的問題并展開說明�。中國開源軟件產(chǎn)業(yè)起步相對較晚�����,相關(guān)專業(yè)技術(shù)人才相對匱乏�;另一方面���,企業(yè)對開源合規(guī)的重要性認(rèn)識還不夠;很多廠商提供的SCA工具往往更多的是基于安全而非合規(guī)����,對于提供成熟的開源合規(guī)治理工具方面仍有很多經(jīng)驗需要積累
海外SCA廠商在進(jìn)入中國市場時也同樣面臨挑戰(zhàn)�。例如:對本地支持較弱���,不能提供二次開發(fā)服務(wù),缺少靈活性�����;而隨著SaaS技術(shù)的發(fā)展�,海外SCA供應(yīng)商也在逐漸減少對本地化部署的支持��,不能滿足部分有本地化部署需求的用戶����;或因為一些其他因素對國內(nèi)客戶斷供����,無法為國內(nèi)企業(yè)提供持續(xù)可靠的支持�����。
以上的外部因素和內(nèi)部因素共同構(gòu)成了中國SCA廠商面臨的機(jī)遇與挑戰(zhàn)���。
擁抱開源��,攜手OpenChain共建開源生態(tài)
作為中國市場領(lǐng)先的軟件供應(yīng)鏈安全治理工具提供商�����,安勢信息加入OpenChain組織����,將極大地促進(jìn)開源許可證合規(guī)領(lǐng)域的國際標(biāo)準(zhǔn)OpenChain ISO/IEC 5230在中國市場的推廣����,并幫助其在企業(yè)落地實施���。
同時�,作為OpenChain的一員�,安勢信息將持續(xù)對市場輸出建立安全、可靠軟件供應(yīng)鏈的重要性的理念��,不斷提高市場對SCA工具和開源合規(guī)的重要性的認(rèn)識。
安勢信息在高速發(fā)展的同時���,一直高度重視與開源生態(tài)各領(lǐng)域的協(xié)作。公司近期也加入了OpenSSF (開源軟件安全基金會)���,有幸成為國內(nèi)第一家加入該基金會的SCA廠商。并放眼全球��,與全球領(lǐng)先的國際開源組織和微軟�����、谷歌�、華為等伙伴一起攜手共建安全可靠的開源軟件供應(yīng)鏈�。
以技術(shù)為導(dǎo)向����,以客戶為中心�����。安勢信息始終相信市場和客戶才是我們保持創(chuàng)新性和先進(jìn)性的源泉和基石��。"正本清源�,不止于安全"�����,安勢信息將堅持在軟件供應(yīng)鏈風(fēng)險治理上持續(xù)發(fā)力�����,不斷完善產(chǎn)品和最佳實踐。未來�,安勢信息將攜手OpenChain�����,持續(xù)提升市場和企業(yè)對SCA關(guān)注和投入,更加緊密地?fù)肀ч_源���。
