開源無處不在。同時(shí)，軟件供應(yīng)鏈中開源治理的復(fù)雜性較高。全球企業(yè)都在積極探索軟件供應(yīng)鏈治理的新方式，尋求專業(yè)安全治理工具，以推動(dòng)軟件供應(yīng)鏈生態(tài)的良性發(fā)展。

新思科技(Synopsys, Nasdaq: SNPS)近日宣布其軟件質(zhì)量與安全部門與ReversingLabs 公司簽署合作協(xié)議，為軟件開發(fā)和安全團(tuán)隊(duì)提供全面的軟件供應(yīng)鏈風(fēng)險(xiǎn)管理解決方案。新思科技備受市場(chǎng)認(rèn)可的 Black Duck® 軟件組成分析的開源掃描功能和 ReversingLabs 的軟件供應(yīng)鏈安全 (SSCS) 平臺(tái)強(qiáng)強(qiáng)聯(lián)合，滿足完整軟件物料清單 (SBOM)的要求和應(yīng)對(duì)軟件供應(yīng)鏈威脅，并將其融入軟件開發(fā)及持續(xù)集成和持續(xù)交付 (CI/CD) 流程。

Black Duck軟件組成分析管理因在應(yīng)用和容器中使用開源代碼而產(chǎn)生的安全、質(zhì)量和許可合規(guī)風(fēng)險(xiǎn)。 ReversingLabs SSCS 平臺(tái)通過掃描商業(yè)第三方組件的漏洞、惡意軟件和軟件篡改實(shí)例來補(bǔ)充Black Duck的功能。這些功能提供了更加完善的安全風(fēng)險(xiǎn)洞察力，可以快速識(shí)別軟件中的惡意軟件、軟件篡改和異常情況，從而在產(chǎn)品發(fā)布前防止供應(yīng)鏈攻擊。新思科技現(xiàn)已獲得授權(quán)可轉(zhuǎn)售配置有 Black Duck的ReversingLabs SSCS平臺(tái)，以在整個(gè)軟件供應(yīng)鏈中自動(dòng)創(chuàng)建全面、可操作的 SBOM。

新思科技軟件質(zhì)量與安全部門總經(jīng)理 Jason Schmitt 表示：“軟件和安全領(lǐng)域的頭部企業(yè)希望新思科技能夠率領(lǐng)業(yè)界憑借完整的安全解決方案，以應(yīng)對(duì)日益嚴(yán)峻的軟件供應(yīng)鏈威脅。ReversingLabs 通過引入先進(jìn)的安全技術(shù)，用于識(shí)別和消除商業(yè)和第三方軟件組件的安全風(fēng)險(xiǎn)，與新思科技在開源風(fēng)險(xiǎn)和應(yīng)用安全方面的專業(yè)知識(shí)進(jìn)行互補(bǔ)。我們可以共同制定精確、完整的 SBOM，其中包括供應(yīng)鏈中所有的軟件來源?！?

Gartner數(shù)據(jù)顯示，到 2025 年，全球45%的企業(yè)將遭遇軟件供應(yīng)鏈的攻擊。因此，企業(yè)將對(duì)軟件供應(yīng)商及其內(nèi)部軟件開發(fā)工作施加更大壓力，以確保最佳安全實(shí)踐。

ReversingLabs首席執(zhí)行官M(fèi)ario Vuksan表示：“最近針對(duì)開源和商業(yè)第三方軟件的軟件供應(yīng)鏈攻擊頻發(fā)，我們需要全新解決方案，增強(qiáng)軟件韌性。這意味著企業(yè)必須著力更全面地洞察軟件供應(yīng)鏈，更深入地掌握復(fù)雜的軟件包組成，包括開源和商業(yè)第三方組件，以及更清晰地了解軟件行為。攜手新思科技，我們的共同努力不僅將確保滿足監(jiān)管需求，而且真正地使開發(fā)人員和安全經(jīng)理能夠避免軟件威脅，并確定軟件風(fēng)險(xiǎn)和質(zhì)量問題的優(yōu)先級(jí)以采取相應(yīng)行動(dòng)。”