「微源」開源軟件可信中心倉

—— 提供安全可信的下載源，合規(guī)引入開源軟件，從源頭過濾風(fēng)險

申請試用

開源軟件存在怎樣的風(fēng)險？

開源軟件具有迭代周期短、模塊數(shù)量多、生產(chǎn)線上化、供應(yīng)全球化、倉儲集中化、邊際成本低等特性，且使用路徑包括第三方鏡像倉庫、網(wǎng)盤、論壇、代碼托管平臺等存在安全隱患的軟件源，極易引入未知風(fēng)險，如篡改、漏洞、投毒/后門、維護(hù)性中斷、開源合規(guī)風(fēng)險等。

如何管理開源軟件的引入？

可信中心倉：從眾多可靠源頭獲取開源軟件，利用自動化工具進(jìn)行持續(xù)評估，通過隔離、標(biāo)記等手段實現(xiàn)開源軟件供應(yīng)鏈安全左移，最大程度限制風(fēng)險引入，對比高成本的“白名單”方案，可信中心倉是企業(yè)和機(jī)構(gòu)管理開源軟件的最佳選擇。

產(chǎn)品簡介 | Product Introduction

「微源」可信中心倉從全球篩選高可靠開源軟件源，自動跟蹤、存儲海量開源軟件，并通過軟件成分分析(Software Composition Analysis)、漏洞情報比對、投毒風(fēng)險識別、開源軟件維護(hù)性評估、開源許可證分析、開源軟件簽名驗證等多種技術(shù)進(jìn)行持續(xù)評估與保障。企業(yè)和機(jī)構(gòu)能夠便捷地將「微源」作為開源軟件源加入本地軟件制品管理工具或開發(fā)環(huán)境，獲得經(jīng)過評估的開源軟件以及各類相關(guān)實時開源風(fēng)險，免除高昂的建設(shè)與維護(hù)投入，實現(xiàn)主動和統(tǒng)一的開源軟件管理。

核心功能 | Core functions

依賴關(guān)系分析 識別開源軟件直接依賴與間接依賴關(guān)系，生成物料清單(SBOM)，提升供應(yīng)鏈可見性與自動化治理能力
有害軟件隔離 實時監(jiān)測開源軟件供應(yīng)鏈投毒情報，通過關(guān)系圖譜與AI算法實現(xiàn)影響范圍判定，并由安全專家進(jìn)行分析驗證，及時隔離有害軟件
持續(xù)跟蹤評估 基于比NVD更龐大的漏洞情報知識庫，結(jié)合多個開源漏洞風(fēng)險識別與分析引擎，實現(xiàn)對開源軟件的持續(xù)跟蹤與評估，幫助用戶快速決策

開源許可合規(guī) 支持3200+種開源許可協(xié)議的識別與分析，并對協(xié)議條款進(jìn)行解釋，100%覆蓋OSl(Open Source Initiative)
開源軟件評價 根據(jù)風(fēng)險評估結(jié)果對開源軟件進(jìn)行綜合評價，幫助企業(yè)和機(jī)構(gòu)制定引入標(biāo)準(zhǔn)、優(yōu)化選型和替代策略
重要風(fēng)險預(yù)警 對開源軟件供應(yīng)鏈進(jìn)行持續(xù)看護(hù)和長鏈追溯，及時發(fā)現(xiàn)相關(guān)風(fēng)險并主動預(yù)警，實現(xiàn)應(yīng)急響應(yīng)能力

技術(shù)指標(biāo) | TECHNICAL INDEX

可支持的開源軟件開發(fā)語言等

可支持的開源軟件操作系統(tǒng)等

| Alpine | Ubuntu

價值優(yōu)勢 | value advantage

為開源軟件供應(yīng)提供連續(xù)性保障
「微源」實現(xiàn)全球開源軟件存儲，在無法連接海外源的情況下仍可獲得已存儲的版本，保障業(yè)務(wù)連續(xù)性。此外，「微源」通過大規(guī)模開源軟件供應(yīng)鏈分析，識別關(guān)鍵的開源軟件，能對其停止服務(wù)、中斷供應(yīng)等事件進(jìn)行評估，協(xié)助搜尋替代方案。

開源軟件源頭可信，供應(yīng)鏈安全左移
「微源」在存儲開源軟件的同時，即通過多種分析引擎，完成對開源軟件篡改、漏洞、投毒/后門、維護(hù)性中斷、開源合規(guī)風(fēng)險等全量風(fēng)險的評估。提前隔離有害開源軟件，并幫助企業(yè)和機(jī)構(gòu)在開源軟件引入之前知悉其安全狀況，將風(fēng)險拒之門外。

協(xié)助開源軟件選型與生命周期管理決策
「微源」擁有實時更新的全球風(fēng)險情報知識庫，對各類開源風(fēng)險進(jìn)行持續(xù)監(jiān)測，幫助企業(yè)和機(jī)構(gòu)及時掌握待引入或已經(jīng)引入的開源軟件綜合風(fēng)險，為開源軟件選型停用與替換提供決策依據(jù)。

降低開源治理成本，避免重復(fù)建設(shè)投入
「微源」將需要大量數(shù)據(jù)與工具支撐的評估分析工作前置，提供安全可信的開源軟件以及各維度評估結(jié)果，免除本地建設(shè)和維護(hù)成本，并讓用戶能夠通過評估結(jié)果快速進(jìn)行開源治理與決策。

聯(lián)合權(quán)威機(jī)構(gòu)共同進(jìn)行源頭治理
「微源」充分發(fā)揮重大基礎(chǔ)設(shè)施的數(shù)據(jù)情報優(yōu)勢與技術(shù)能力優(yōu)勢，聯(lián)合權(quán)威安全評測機(jī)構(gòu)，為企業(yè)和機(jī)構(gòu)提供可信、安全、高效的開源軟件中心倉服務(wù)，幫助建立開源軟件可信供應(yīng)長效機(jī)制，提升開源軟件供應(yīng)鏈彈性與可靠性。

基于開源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，保障軟件供給安全

*「源圖」是我國首個開源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，包含國內(nèi)已知規(guī)模最大的開源軟件供應(yīng)鏈數(shù)據(jù)集與知識圖譜，通過持續(xù)采集、監(jiān)測和分析全球開源軟件，已幫助國內(nèi)近百家企業(yè)和機(jī)構(gòu)實現(xiàn)更完善的開源治理。