绿盟科技入选WG10工作组第一批开源治理系列实践案例

★ 背景介绍

开源组件在代码安全审计中的占比逐年攀升。第三方组件、开发工具、交付过程、运行过程等都可能受到漏洞威胁或者恶意攻击，导致信息安全事件发生。基于此，现有传统的网络安全管理办法更需顺应时代发展进行调整与更新。

绿盟代码安全审计系统（SDA）是一款集软件组成分析和静态应用程序安全测试能力的代码安全审计系统。系统支持开源组件资产识别、软件物料清单SBOM管理、开源许可证识别、漏洞识别和二进制文件分析。通过该系统，帮助客户提高软件资产透明度，掌握开源组件资产台账情况，了解其中的漏洞风险和开源许可风险，对紧急爆发的0day组件和漏洞快速响应，从源代码层面保障产品安全。

★ 应用范围

（1）面向拥有庞大数字化信息系统企业。这类企业管理着成百上千的软件元素，内部软件体系由商业软件包和定制构建的代码库共同组成，软件系统复杂。因此当软件产品需要快速上线时，高效解决软件代码安全、法律遵从等问题尤为重要。

（2）面向广泛应用开源技术的企业。

★ 核心优势

近年来，数据安全得到广泛关注，在数据产生、采集、加工、存储、应用到销毁的全过程中，都可能会引入各种安全相关的问题。对数据的正确访问、数据泄露防护、敏感数据的加密等手段，能够有效保护数据安全。

绿盟科技聚焦开源软件，针对性提出软件供应链安全治理服务方案，通过推进软件生命周期全流程安全管控的落地实践，从软件生命周期的源头保障软件供应链安全；通过建立软件开发过程中保障软件供应链安全的体系化方法，尽可能避免软件的安全缺陷，保证软件供应链安全。