開源軟件的應(yīng)用非常廣泛，在金融、運營商、電力、航空、汽車等行業(yè)用戶的信息系統(tǒng)底層架構(gòu)中，均有開源軟件的影子。開源軟件之間的依賴和調(diào)用關(guān)系非常復(fù)雜，其漏洞的放大作用非常顯著，黑客利用開源軟件已知漏洞實施攻擊的事例屢見不鮮，近年來Struts2、OpenSSL等開源軟件頻繁爆出高危漏洞，給行業(yè)客戶帶來了廣泛的影響。

　　針對開源軟件應(yīng)用的現(xiàn)狀，奇安信全新發(fā)布了開源衛(wèi)士產(chǎn)品。該產(chǎn)品是一款集開源軟件識別和安全管控于一體的軟件成分分析系統(tǒng)，通過云端分析中心在全球范圍內(nèi)獲取開源軟件信息和漏洞情報，利用自主研發(fā)的開源軟件分析引擎為用戶提供開源軟件識別、開源軟件漏洞分析及開源軟件漏洞情報獲取等功能，幫助行業(yè)用戶掌握信息系統(tǒng)中的開源組件資產(chǎn)和漏洞情報，降低由開源軟件帶來的安全風(fēng)險，保障交付更安全的軟件。

　　隨著軟件開發(fā)過程中開源軟件的使用越來越多，開源軟件事實上已經(jīng)成為了軟件開發(fā)的核心基礎(chǔ)設(shè)施，開源軟件的安全問題應(yīng)該上升到基礎(chǔ)設(shè)施安全的高度來對待。而當(dāng)前的現(xiàn)實情況是，用戶在軟件開發(fā)過程中面臨著三大開源軟件安全難題：不清楚在開發(fā)過程中使用了哪些開源軟件，不清楚使用的開源軟件中存在哪些安全風(fēng)險，當(dāng)有開源軟件出現(xiàn)新的漏洞時也不清楚是否會影響到正在運行的信息系統(tǒng)。

　　這些困難給信息系統(tǒng)的安全風(fēng)險管控帶來了極大的挑戰(zhàn)，開源衛(wèi)士幫助行業(yè)用戶破解三大開源安全難題：

　　讓用戶“看見”信息系統(tǒng)中包含了哪些開源軟件

　　軟件開發(fā)過程中會引入大量開源軟件，但用戶的安全管理者或者開發(fā)管理者常常不清楚自身的信息系統(tǒng)中到底引入了多少開源軟件，引入了哪些開源軟件。奇安信開源衛(wèi)士可以識別軟件系統(tǒng)中包含了哪些開源軟件以及開源軟件之間的關(guān)聯(lián)關(guān)系，形成開源軟件可視化清單。

　　讓用戶“知道”使用的開源軟件中存在哪些安全風(fēng)險

　　軟件中使用的開源軟件可能會存在已知安全漏洞，且這些開源軟件背后調(diào)用或依賴的其他開源軟件也可能會存在安全漏洞，這種深層關(guān)聯(lián)下的開源軟件漏洞很難通過漏洞掃描工具發(fā)現(xiàn)。奇安信開源衛(wèi)士通過軟件成分分析技術(shù)可以發(fā)現(xiàn)這些隱藏在開源軟件背后的深層次安全漏洞，讓用戶清楚“知道”信息系統(tǒng)中存在多少已知安全漏洞。

　　讓用戶“掌握”最新開源軟件漏洞情報

　　用戶從海量網(wǎng)絡(luò)安全情報信息中，獲取影響企業(yè)自身的開源軟件漏洞信息，成本高、難度大。奇安信開源衛(wèi)士在云端監(jiān)控眾多開源軟件漏洞情報來源，通過清洗、匹配、關(guān)聯(lián)等一系列自動化數(shù)據(jù)分析處理后，向用戶及時推送開源軟件漏洞信息，讓用戶及時獲取到影響其自身安全的最新開源軟件漏洞情報。

　　奇安信開源衛(wèi)士是國內(nèi)首個成熟的商用軟件成分分析系統(tǒng)，在多年技術(shù)積累基礎(chǔ)上，通過開源組件成分分析、依賴分析、特征分析、引用識別等多種技術(shù)組合能夠精確識別軟件中的開源組件信息，技術(shù)完全自主創(chuàng)新。同時，奇安信開源衛(wèi)士團(tuán)隊還運營著國內(nèi)規(guī)模最大的“開源項目檢測計劃”，收集了3000多萬個開源項目的版本信息，積累了大量的開源軟件基礎(chǔ)數(shù)據(jù)。奇安信開源衛(wèi)士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD)，能夠滿足行業(yè)用戶相應(yīng)的監(jiān)管要求。

　　此外，用戶使用的開源軟件有時不能通過升級軟件版本進(jìn)行漏洞修復(fù)。奇安信開源衛(wèi)士依托奇安信代碼安全實驗室專業(yè)的漏洞研究能力，可以為用戶提供開源軟件漏洞危害評級、漏洞補丁分析、漏洞補丁方案等高端漏洞修復(fù)咨詢服務(wù)。