来源 :宇信科技2022-05-26
5月20日,由中国信息通信研究院、中国通信标准化协会主办的2022 OSCAR开源先锋日顺利举办。在本届的大会上,宇信科技的YUCC OSG 开源软件治理平台荣获信通院颁发的开源治理工具评估证书。此次通过认证意味着YUCC OSG 开源软件治理平台在开源组成分析能力、开源安全性分析能力、更新预警能力、持续集成能力、兼容性能力、高可用能力、技术支持能力、易用性能力、本地部署能力等15个方面均满足可信开源治理工具能力评估要求,成功获得国家级的认可。
近年来,国家高度重视开源产业的发展,2021年发布的“十四五”规划更是首次把开源纳入顶层设计。开源技术已经成为新一代信息技术发展的基础和动力,在各行各业得到了广泛的应用。这其中也包含了金融行业的各领域,开源技术在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为此,央行等五部门联合发布了《关于规范金融业开源技术应用与发展的意见》,在规范金融机构合理应用开源技术的同时,也促进开源技术健康可持续发展。
宇信科技作为国内金融IT的龙头企业,一直紧跟技术发展趋势,积极探索着开源技术在金融行业实现安全可控落地应用的有效路径,YUCC OSG 开源软件治理平台就是其中重要成果之一。这是宇信科技自主研发的一款集开源组件分析识别和安全管控于一体的治理平台,帮助企业建立标准、规范、自动化的开源软件治理流程,包括组织、规则、选型、评审、审批、应用、维护、升级和发布,实现开源软件使用的安全性、合规性,保障企业交付更安全的软件。
作为开源软件“安全卫士”, YUCC OSG 开源软件治理平台广泛应用于从软件研发,到软件投产前、后的全流程,并凭借全自动高效的指纹分析技术、知识库技术、互联网数据引擎等,帮助金融机构精准识别项目中的开源组件资产,并实时分析出开源组件对应的已知安全漏洞、许可证协议、缺陷风险等,同时利用建立好的威胁情报机制,进行持续监控并实时告警。
具体来讲,研发阶段,提供IDE插件,帮助开发人员在研发阶段尽早发现开源安全和合规风险并快速修复,大幅降低修复成本;投产前,对待投产项目进行安全扫描并出具开源安全扫描报告,帮助安全人员判断项目是否符合投产安全标准;投产后,实时监控最新披露的安全漏洞,第一时间让用户获取影响其安全的开源安全漏洞及许可证信息。
相比于其他产品,YUCC OSG 开源软件治理平台的核心技术优势明显,走在行业的前列。
自主研发,安全可控
自研轻量级高性能的扫描客户端,基于特征值扫描,零误报;支持十余种包配置管理器的扫描分析;
离线部署,可靠性强
支持完全离线部署和离线使用,降低企业信息外泄风险,保障客户信息安全;
知识库丰富,识别精准
包含主流开发语言组件库 5500W+,漏洞库18W+,缺陷库28W+,许可证库2000+,开源软件库80W+,并持续监控和采集;
灵活性强,流程自定义
内置了完整的开源组件全生命周期的治理体系流程,并可根据客户自有流程提供灵活配置能力。
据了解,YUCC OSG 开源软件治理平台是宇信云豹(YUCC)产品家族的成员之一。而宇信云豹是宇信科技面向金融行业客户构建一站式的DevOps产品及解决方案,包括研发协同管理、持续集成和持续交付、开源软件治理、全生命周期的智能度量分析和持续反馈,帮助金融机构建立研发运维一体化咨询规划、平台建设、工程教练/敏捷教练培养服务等,加速推动金融行业的数字化转型!