9月21日，中國(guó)信息通信研究院（以下簡(jiǎn)稱“中國(guó)信通院”）、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的2023OSCAR開源產(chǎn)業(yè)大會(huì)在京召開，會(huì)上發(fā)布了2023可信開源最 新評(píng)估結(jié)果。其中，騰訊Xcheck-SCA開源威脅管控平臺(tái)通過(guò)了可信開源治理工具評(píng)估。繼去年通過(guò)靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具能力要求評(píng)估之后，XCheck再次獲得了信通院認(rèn)可。

圍繞“安全”“合規(guī)”“持續(xù)”“健康”的開源生態(tài)發(fā)展目標(biāo)，中國(guó)信通院在業(yè)內(nèi)率先提出“可信開源”理念，目前已形成覆蓋開源全生命周期的標(biāo)準(zhǔn)及評(píng)估體系，為推動(dòng)開源技術(shù)的安全合規(guī)應(yīng)用與發(fā)展提供重要參考。

其中，可信開源治理工具評(píng)估（SCA）圍繞具有開源組成和安全性分析功能的開源組件掃描工具進(jìn)行針對(duì)性評(píng)估，聚焦安全產(chǎn)品的基本能力、技術(shù)支持能力、易用性、部署能力、安全性及兼容性，騰訊Xcheck憑借優(yōu)異的性能和漏洞檢測(cè)能力通過(guò)了此次能力評(píng)估。

近年來(lái)，開源軟件以其開放、共享、便捷等特點(diǎn)迅猛發(fā)展，逐漸成為信息系統(tǒng)軟件開發(fā)的基礎(chǔ)，但也帶來(lái)了包括技術(shù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)在內(nèi)的挑戰(zhàn)。在軟件應(yīng)用生命周期里，修復(fù)漏洞的成本隨著發(fā)現(xiàn)漏洞階段的進(jìn)程呈幾何級(jí)數(shù)增長(zhǎng)，為了規(guī)避開發(fā)階段以及第三方供應(yīng)鏈引入的安全威脅，DevSecOps理念持續(xù)升溫，軟件成分分析（SCA）能力和工具成為了安全廠商的研發(fā)焦點(diǎn)。

在大會(huì)開源安全和供應(yīng)鏈分論壇上，騰訊開發(fā)安全產(chǎn)品規(guī)劃負(fù)責(zé)人劉天勇帶來(lái)了《二進(jìn)制SCA技術(shù)在軟件供應(yīng)鏈安全中的實(shí)踐分享》。劉天勇介紹，Xcheck-SCA是騰訊自研的新一代軟件成分分析系統(tǒng)，具備源碼SCA和二進(jìn)制SCA兩大能力，以及數(shù)據(jù)全面、更新及時(shí)的開源組件知識(shí)庫(kù)，經(jīng)過(guò)長(zhǎng)期內(nèi)部實(shí)踐及不斷迭代優(yōu)化，已建成了優(yōu)秀開源組件檢測(cè)能力，有效保障軟件供應(yīng)鏈安全。

（騰訊開發(fā)安全產(chǎn)品規(guī)劃負(fù)責(zé)人劉天勇）

其中，二進(jìn)制 SCA 能力是騰訊安全的獨(dú) 家技術(shù)優(yōu)勢(shì)。騰訊Xcheck二進(jìn)制SCA能力是基于二進(jìn)制軟件成分分析技術(shù)，全方位、高精度的對(duì)二進(jìn)制構(gòu)建物進(jìn)行分析，無(wú)需源代碼，一鍵上傳目標(biāo)文件，即可輸出依賴組件，并有效準(zhǔn)確識(shí)別風(fēng)險(xiǎn)及檢驗(yàn)軟件許可協(xié)議合規(guī)。

作為軟件成分分析系統(tǒng)，騰訊Xcheck-SCA有效應(yīng)對(duì)了傳統(tǒng)開源組件分析檢測(cè)不全、檢測(cè)不準(zhǔn)、知識(shí)庫(kù)信息維護(hù)難三大痛點(diǎn)，在安全漏洞檢測(cè)層面，騰訊Xcheck-SCA支持各種開發(fā)語(yǔ)言的源代碼及常見固件、鏡像、文件系統(tǒng)、壓縮文件等多語(yǔ)言、全格式、多維度的深度掃描，漏洞檢測(cè)效率高、誤報(bào)低。

騰訊Xcheck-SCA搭載騰訊安全獨(dú) 家維護(hù)的開源組件知識(shí)庫(kù)，開源組件數(shù)量500w+，開源組件版本數(shù)量7000w+，數(shù)據(jù)量、準(zhǔn)確性、更新頻率都是國(guó)內(nèi)最 高水平;擁有優(yōu)秀的漏洞數(shù)據(jù)庫(kù)，漏洞總量28w+，覆蓋NVD、CNVD、CNNVD，由騰訊安全專家持續(xù)維護(hù)追蹤漏洞，維護(hù)數(shù)據(jù)庫(kù)的實(shí)時(shí)性、有效性和全面性。

在部署應(yīng)用層面，騰訊Xcheck-SCA部署簡(jiǎn)單，具備豐富的平臺(tái)管理功能和第三方對(duì)接集成功能，支持私有化部署，支持API接口、DevOps平臺(tái)集成、缺陷跟蹤系統(tǒng)集成、代碼倉(cāng)庫(kù)集成、制品倉(cāng)庫(kù)集成等，全面適應(yīng)企業(yè)軟件開發(fā)運(yùn)維的各類場(chǎng)景。

當(dāng)前，“安全左移”理念成為趨勢(shì)，將安全融入軟件開發(fā)全生命周期成為企業(yè)有效收斂安全問(wèn)題的不二之選。依托自身實(shí)踐自研的技術(shù)工具和手段，騰訊安全將持續(xù)打磨安全產(chǎn)品，助力開源軟件可信安全，實(shí)現(xiàn)從源頭降低安全風(fēng)險(xiǎn)，幫助行業(yè)和企業(yè)踐行“安全左移”理念。

（推廣）