《开源代码合规性测试方法》.PDFVIP

《开源代码合规性测试方法》 演讲人 ：辛小秋 关于开源  开源不仅仅是开放源代码  开源是一种成功的创新模式，与闭源模式相互影响，形成“共生”。  开源许可证是商业许可证的简化版，同样受著作权法或者知识产权法的保护。  开源许可证（授权协议）  保留原作者的署名权（与“CC”协议中的“BY”属性相似）。  将自由获取、自由修改、自由再发布等权利授权给用户。  分为开放型许可证和传染性许可证两类。  不当使用会造成潜在风险。 OSI与开源许可证 OSI ：开源促进会，国际非盈利组织， 经过OSI批准的开源许可证有82个。 开源许可证的兼容性 开源带来的风险  合规性风险  开源许可证违规使用导致法律诉讼  传染性风险、兼容性风险、其他违规风险  风险：产品召回，自有代码被迫开源等  安全性风险  引入开源软件的同时，被动引入安全漏洞  多数开源许可证没有承诺对安全性风险负责  风险：安全漏洞爆发造成重大损失 开源监管力度在增强 开源治理，工具先行  制度和流程  “谁引入，谁负责”，开源代码登记制度等  人员和培训  开源治理委员会：工程师，法务，管理者  定期进行政策、法律、技术培训  合适的工具（发现问题是解决问题的前提）  管理平台，开源代码扫描检测工具等  及时发现存量和增量代码中使用开源软件的痕迹 （包括许可证信息和安全漏洞信息） 开源代码扫描检测工具的应用场景  企业内部的代码检测需求  项目开源之前，查找自有代码中的开源风险；  针对闭源商业代码，也需要规避合规性风险；  政府部门监管政策造成的开源治理需求  国家项目对自主知识产权的要求  国家对某些重要领域的风险防控要求  国际合作中甲方提出的代码扫描需求  国内产品出口到欧美，甲方需要检测报告免责  企业兼并过程中的代码审计需求  邀请第三方进行审计，对收购标的进行软件资产评估 开源代码合规性测试原理 开源组件清单 License 安全漏洞列表 Scan Engine KB 检测报告 数据分析 用户代码 扫描/ 确认 结果输出 开源代码合规性测试举例（1） FOSSID报告显示：用户代码中开源成分占比超过75% ，其中有12个文件使用了AGPL3.0许可证。 如果用户代码用于提供互联网服务，使用AGPL3.0许可证，属于违规行为，存在被迫开源风险。 开源代码合规性测试举例（2） FOSSID报告显示：用户代码中引用的开源组件存在安全漏洞， 建议用户到NVD或者CNNVD网站中查询详细描述和补丁信息。 代码安全以及信息安全 用户内