懸鏡安全攜手OpenChain，共同守護中國軟體供應鏈安全

近日，OpenChain官方宣佈，懸鏡安全正式成為OpenChain專案會員。懸鏡安全今後將與谷歌、微軟、Meta等其他全球性企業一同，全方位支援開源許可證合規領域的“OpenChain ISO/IEC 5230”國際標準，共建繁榮健康的開源生態和安全可信的軟體供應鏈。

OpenChain是由Linux基金會發起的一個旨在制定開源軟體供應鏈標準，幫助各種組織更高效解決開源許可證一致性問題的專案。目前，全球各領域數百家巨頭紛紛加入OpenChain，推動建立安全可信的軟體供應鏈上下游生態。

OpenChain總經理Shane Coughlan表示：“多年來，OpenChain始終致力於開源安全生態建設，追求可信的軟體供應鏈；我們與懸鏡的夥伴關係將加快這項使命在中國市場的達成。未來，我們期待能夠協助不同體量的企業尋找使用開源的最優解。”

“作為國內軟體供應鏈安全的技術引領者，我們很高興加入OpenChain合作伙伴計劃，與OpenChain社群及全球其他成員共建更可信、更高效的開源供應鏈和生態環境。”懸鏡安全創始人兼CEO子芽表示，“OpenChain致力於幫助企業和組織解決開源許可證一致性問題，與懸鏡一同前瞻性洞察到企業在數字化轉型過程中面臨的開源軟體供應鏈安全風險與挑戰。為此，懸鏡首創‘用開源的方式做開源風險治理’，將旗下源鑑OSS這一企業級SCA產品開源，為廣大企業和開發者提供專業的OpenSCA技術支援與社群生態服務。未來，我們將與OpenChain持續緊密合作，並聯合更多的開源生態夥伴，圍繞中國軟體供應鏈安全建立一個更為開放、更具創新、更有活力的開源社群，賦能更多行業使用者。”

開源驅動的軟體開發模式已成為主流，為幫助企業安全高效地擁抱開源，懸鏡安全結合多年的敏捷安全落地實踐經驗和軟體供應鏈安全研究成果，探索出一套以程式碼疫苗技術和積極防禦體系為核心的軟體供應鏈全流程安全管理框架，涵蓋從研發、供應、運營等關鍵環節的研發運營一體化敏捷安全產品和配套服務，將自動化的安全能力和配套的標準規範注入到整個軟體供應鏈全流程中，通過開源風險治理、研發過程管控、常態化安全運營三個關鍵階段，幫助上千家企業構建起安全、可信、合規的軟體供應鏈安全治理與運營體系。

圖1 軟體供應鏈全流程風險治理框架

OpenSCA積極實踐“用開源的方式做開源風險治理”這一新理念，其憑藉領先的開源應用安全缺陷檢測、多級開源依賴挖掘、縱深程式碼同源檢測等核心能力，成為Gitee最有價值開源專案。

在開源及軟體供應鏈領域中，懸鏡持續關注並積極與多個行業頭部組織進行深度合作，如近期成為中國資訊通訊研究院所發起的“可信開源合規計劃”與軟體供應鏈安全實驗室首批成員單位。未來通過安全共建的方式，懸鏡將持續為開源生態做出積極貢獻，堅持守護中國軟體供應鏈安全的使命。

以下內容轉載自OpenChain官網：

關於懸鏡安全

懸鏡安全，由北京大學網路安全技術研究團隊“XMIRROR”於2014年創立。作為DevSecOps敏捷安全領導者，懸鏡專注於以程式碼疫苗和積極防禦技術為核心的DevSecOps軟體供應鏈持續威脅一體化檢測防禦，結合多年的敏捷安全落地實踐經驗和軟體供應鏈安全研究成果，探索出基於原創專利級“敏捷流程平臺+關鍵技術工具鏈+元件化軟體供應鏈安全服務”的第三代DevSecOps智適應威脅管理體系。該體系主要涵蓋從威脅建模、開源治理、風險發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全產品及以實戰攻防對抗為特色的軟體供應鏈安全服務，覆蓋DevSecOps、軟體供應鏈安全、雲原生安全等關鍵應用場景，作為新一代敏捷安全框架，已成功幫助金融電商、泛網際網路、車聯網、電信運營商、能源電力等行業上千家企業構築起一套適應自身業務彈性發展、面向敏捷業務交付並引領未來架構演進的內生積極防禦體系。更多資訊請訪問懸鏡安全官網：www.xmirror.cn