华为云发布 CodeArts Governance 开源治理服务，开源使用更安心

2023 年 9 月 14 日，华为云正式发布 CodeArtsGovernance 开源治理服务。这是一款针对软件研发提供的一站式开源软件治理服务，将华为在开源治理上的实践及经验和能力逐步固化在华为云服务上，助力企业更加安全、更加高效的使用开源软件。

开源软件的使用在当前软件开发过程中已经成为不可或缺的一部分，根据最近的一项调查报告显示，全球超过 90%的企业在其软件开发过程中使用了开源软件。

虽然企业使用开源软件在创新共享、灵活定制甚至成本效益等方面拥有优势，但开源软件自身安全状况持续下滑，开源软件的供应链也攻击不断。因此，使用开源软件时，企业需要关注如下三个维度的风险：

合法合规风险

开源软件的使用可能涉及到法律和合规方面的风险。例如，某些开源许可证可能要求将软件的源代码公开发布，而如果企业没有遵守这些许可证的条款，则会面临法律纠纷和版权问题。

此外，开源软件可能依赖于其他开源软件或专有软件，如果未获得适当的许可证或合规性认证，可能会面临侵权和法律责任。

网络安全风险

由于其开放的特性，开源软件可能容易受到黑客攻击和恶意代码注入。恶意用户可以利用开源软件中的漏洞或弱点来入侵系统、窃取数据或进行其他攻击行为。

Log4j2 是一个开源的 Java 日志框架，被广泛用于 Java 应用程序的日志记录和管理。2021 年 12 月 Log4j2 被爆出远程代码执行漏洞，该漏洞被安全专家称为史“史诗级”漏洞，波及全球 6 万+开源软件，影响 70%以上的企业线上业务系统。

供应安全风险

由于开源软件通常是通过社区合作开发，因此可能存在质量不一致、缺乏有责任感的维护者或过度依赖个别贡献者的情况。又或是已使用的开源软件不继续演进和维护，开源软件的更新和支持受到限制或延迟，导致软件在长期使用中出现问题或安全漏洞无法及时修复。

为了应对这些风险，华为云开源治理服务 CodeArtsGovernance 将提供全面的解决方案。

此次，华为云率先推出二级制成分分析特性，通过如下优势特性，助力企业应对开源风险：

特性 1：无源码，无侵入快速检测

基于二进制的成分分析，无需用户提供源代码，只需上传产品发布包或固件，通过服务的静态分析及特征检测技术，无需构建运行环境或运行程序即可快速分析产品二进制软件包中包含的开源软件及漏洞清单。

特性 2：全面的检测能力，安全及合规问题全防护

License 合规性检测：通过评估开源软件许可证的合规性，服务可以检测出是否存在使用违反许可证规定的软件，并帮助企业遵守合规要求，避免潜在的版权侵权和法律纠纷。

开源软件漏洞扫描：通过服务自动扫描和识别软件中存在的开源软件漏洞，并提供详细的漏洞报告和修复建议，帮助客户及时修复漏洞，减少被黑客利用的风险；

安全配置及敏感信息泄露检测：支持识别制品包中硬编码密码、硬编码密钥、弱口令、密码复杂度、证书文件等 20 余种场景，保护用户的敏感数据不被泄露；

恶意代码检测：内置先进的开源软件恶意代码检测引擎，结合 AI 等相关检测技术，覆盖恶意命令执行、反弹 Shell、混淆加密代码等十余种典型的恶意行为，检测准确率大于 95%，优于同类工具。企业在开源软件引用前扫描，可帮助企业及时发现开源软件中的恶意代码，避免恶意威胁流入产品软件；若在版本软件发布前扫描，可帮助企业拦截恶意代码，避免恶意代码流入生产环境，解决企业供应安全风险。

特性 3：多语言，多文件格式，多架构平台

华为云 CodeArtsGovernance 二进制的成分分析服务具备超强的兼容性，为用户带来更高的灵活性、便利性和可扩展性。服务支持多种语言编译构建，在多种操作系统或多种 CPU 架构下生成的二进制文件；同时支持 40 多种文件系统或文件格式，覆盖主流软件应用场景，确保软件在不同环境中的安全性，减少切换和兼容性问题，提高检测效率。

华为云 CodeArtsGovernance 将持续提供更多优秀的实践能力，如源码成分分析、开源元数据管理、软件信息树等，为用户提供全量开源软件资产可视化管理能力，帮助用户更轻松的进行开源软件及漏洞管理。

审核编辑 黄宇