目前，软件供应链由于开源和云原生时代的到来越来越趋于复杂化和多(duō)样化，软件供应链安(ān)全风险不断加剧，且针对软件供应链的攻击事件一直呈快速增長(cháng)态势，造成的危害也日益严重。企业在软件更新(xīn)、开源项目、第单方开发人员等环节中(zhōng)容易受到软件供应链攻击，因此，确保软件供应链的安(ān)全性十分(fēn)重要。

爱加密软件供应链安(ān)全管理(lǐ)平台可(kě)用(yòng)于第三方开源组件安(ān)全管控，提供事前工(gōng)作(zuò)、事中(zhōng)处理(lǐ)、事后监测三种安(ān)全管理(lǐ)机制，包括企业组件使用(yòng)管理(lǐ)、组件使用(yòng)合规性审计、新(xīn)漏洞感知预警等，可(kě)提供企业级的软件资产(chǎn)分(fēn)布可(kě)视化、软件资产(chǎn)跟踪定位、根据已知漏洞定位组件、新(xīn)漏洞发布后的自检与预警、威胁分(fēn)析、组件、漏洞数据的态势感知、许可(kě)和知识产(chǎn)权检测、组件管控等功能(néng)。

平台支持CVE、CNNVD等常用(yòng)漏洞库更新(xīn)，以保证高开源组件库的覆盖度；支持企业、部门、项目级的资产(chǎn)分(fēn)布视图展示，对组件、漏洞清单进行多(duō)维度展示，為(wèi)辅助决策提供精(jīng)准、合理(lǐ)的修复方案；实时发现漏洞，持续更新(xīn)记录，以保证对漏洞风险的快速感知；灵活的组件授权管控机制，提升了使用(yòng)的便捷性和安(ān)全性。

核心功能(néng)

1、事前工(gōng)作(zuò)

根据开源技(jì )术相关法律和许可(kě)要求建立入库标准；

私库存量开源组件建立事前技(jì )术合规评估和安(ān)全评估;

对于新(xīn)增入库开源技(jì )术需进行严格检测及审核；

建立开源技(jì )术应用(yòng)管理(lǐ)制度體(tǐ)系。

2、事中(zhōng)处理(lǐ)

以安(ān)全、合规為(wèi)核心，覆盖开源使用(yòng)全周期；

检测当前开源软件许可(kě)是否符合系统使用(yòng)范围；

对开发中(zhōng)项目建立自动化实时监控机制；

根据扫描结果建立开源软件应用(yòng)台账。

3、事后监测

提供多(duō)种方式对漏洞库信息进行实时更新(xīn)管理(lǐ)；

建立开源项目实时合规及安(ān)全检查机制；

提供应急响应机制，实现对新(xīn)增漏洞进行追溯修复能(néng)力。

应用(yòng)场景

以监管要求為(wèi)基础帮助企业建立开源技(jì )术应用(yòng)管理(lǐ)制度體(tǐ)系，实现对软件供应链的全生命周期安(ān)全管控，通过建立准入机制严格把关开源软件使用(yòng)，确保当前存量/增量的开源组件符合安(ān)全及合规评估要求；同时对于现有(yǒu)软件资产(chǎn)建立台账，以安(ān)全、合规為(wèi)核心，对开源组件应用(yòng)的全生命周期进行分(fēn)析，帮助管理(lǐ)人员有(yǒu)效了解 当前企业的软件资产(chǎn)情况；在对于投产(chǎn)应用(yòng)进行持续监控，以多(duō)来源威胁情报為(wèi)基础，建立快速应急响应机 制，实时预警开源组件安(ān)全及合规问题，发现漏洞后，精(jīng)准定位关联应用(yòng)，协助管理(lǐ)人员对其进行有(yǒu)效修复， 实现软件供应链安(ān)全智能(néng)化管理(lǐ)。

产(chǎn)品价值

• 能(néng)够帮助企业建立标准化软件资产(chǎn)台账，帮助管理(lǐ)人员解决组件管理(lǐ)问题；
• 通过深度检测分(fēn)析，准确地定位风险组件并进行管理(lǐ)，便于研发人员放心使用(yòng)，专注开发工(gōng)作(zuò)，提高开发效率；
• 识别潜在的许可(kě)证风险，避免供应链许可(kě)纠纷；
• 全面可(kě)视化统计能(néng)力有(yǒu)效提升软件开发供应链安(ān)全管理(lǐ)能(néng)力。