开源软件存在怎样的风险?
开源软件具有迭代周期短、模块数量多、生产线上化、供应全球化、仓储集中化、边际成本低等特性,且使用路径包括第三方镜像仓库、网盘、论坛、代码托管平台等存在安全隐患的软件源,极易引入未知风险,如篡改、漏洞、投毒/后门、维护性中断、开源合规风险等。
如何管理开源软件的引入?
可信中心仓:从众多可靠源头获取开源软件,利用自动化工具进行持续评估,通过隔离、标记等手段实现开源软件供应链安全左移,最大程度限制风险引入,对比高成本的“白名单”方案,可信中心仓是企业和机构管理开源软件的最佳选择。
产品简介 | Product Introduction
核心功能 | Core functions
依赖关系分析
识别开源软件直接依赖与间接依赖关系,生成物料清单(SBOM),提升供应链可见性与自动化治理能力
有害软件隔离
实时监测开源软件供应链投毒情报,通过关系图谱与AI算法实现影响范围判定,并由安全专家进行分析验证,及时隔离有害软件
持续跟踪评估
基于比NVD更庞大的漏洞情报知识库,结合多个开源漏洞风险识别与分析引擎,实现对开源软件的持续跟踪与评估,帮助用户快速决策
开源许可合规
支持3200+种开源许可协议的识别与分析,并对协议条款进行解释,100%覆盖OSl(Open Source Initiative)
开源软件评价
根据风险评估结果对开源软件进行综合评价,帮助企业和机构制定引入标准、优化选型和替代策略
重要风险预警
对开源软件供应链进行持续看护和长链追溯,及时发现相关风险并主动预警,实现应急响应能力
技术指标 | TECHNICAL INDEX
可支持的开源软件开发语言等
|
Maven
|
NuGet
|
NPM
|
PyPI
|
Go
|
Packagit
|
Pub
|
Conan
|
Helm
|
Cargo
|
Hackage
可支持的开源软件操作系统等
|
Fedora
|
openEuler
|
Deepin
|
openSUSE
|
CentOS
|
Alpine
|
Ubuntu
价值优势 | value advantage
为开源软件供应提供连续性保障
「微源」实现全球开源软件存储,在无法连接海外源的情况下仍可获得已存储的版本,保障业务连续性。此外,「微源」通过大规模开源软件供应链分析,识别关键的开源软件,能对其停止服务、中断供应等事件进行评估,协助搜寻替代方案。
开源软件源头可信,供应链安全左移
「微源」在存储开源软件的同时,即通过多种分析引擎,完成对开源软件篡改、漏洞、投毒/后门、维护性中断、开源合规风险等全量风险的评估。提前隔离有害开源软件,并帮助企业和机构在开源软件引入之前知悉其安全状况,将风险拒之门外。
协助开源软件选型与生命周期管理决策
「微源」拥有实时更新的全球风险情报知识库,对各类开源风险进行持续监测,帮助企业和机构及时掌握待引入或已经引入的开源软件综合风险,为开源软件选型停用与替换提供决策依据。
降低开源治理成本,避免重复建设投入
「微源」将需要大量数据与工具支撑的评估分析工作前置,提供安全可信的开源软件以及各维度评估结果,免除本地建设和维护成本,并让用户能够通过评估结果快速进行开源治理与决策。
联合权威机构共同进行源头治理
「微源」充分发挥重大基础设施的数据情报优势与技术能力优势,联合权威安全评测机构,为企业和机构提供可信、安全、高效的开源软件中心仓服务,帮助建立开源软件可信供应长效机制,提升开源软件供应链弹性与可靠性。
基于 
开源软件供应链重大基础设施,保障软件供给安全
*「源图」是我国首个开源软件供应链重大基础设施,包含国内已知规模最大的开源软件供应链数据集与知识图谱,通过持续采集、监测和分析全球开源软件,已帮助国内近百家企业和机构实现更完善的开源治理。
部署模式 | Deployment mode
云服务模式适用于中小型企业和机构
支持最多 100 用户
线上更新与服务
无需本地软硬件资源
私有化部署模式适用于大型企业和机构
支持用户数量无上限
线上+本地多端服务
便携式快捷部署
按需扩容灵活定制
