開源軟件的應用非常廣泛，在金融、運營商、電力、航空、汽車等行業(yè)用戶的信息系統(tǒng)底層架構中，均有開源軟件的影子。開源軟件之間的依賴和調用關系非常復雜，其漏洞的放大作用非常顯著，黑客利用開源軟件已知漏洞實施攻擊的事例屢見不鮮，近年來Struts2、OpenSSL等開源軟件頻繁爆出高危漏洞，給行業(yè)客戶帶來了廣泛的影響。

　　針對開源軟件應用的現(xiàn)狀，奇安信全新發(fā)布了開源衛(wèi)士產品。該產品是一款集開源軟件識別和安全管控于一體的軟件成分分析系統(tǒng)，通過云端分析中心在全球范圍內獲取開源軟件信息和漏洞情報，利用自主研發(fā)的開源軟件分析引擎為用戶提供開源軟件識別、開源軟件漏洞分析及開源軟件漏洞情報獲取等功能，幫助行業(yè)用戶掌握信息系統(tǒng)中的開源組件資產和漏洞情報，降低由開源軟件帶來的安全風險，保障交付更安全的軟件。

　　隨著軟件開發(fā)過程中開源軟件的使用越來越多，開源軟件事實上已經成為了軟件開發(fā)的核心基礎設施，開源軟件的安全問題應該上升到基礎設施安全的高度來對待。而當前的現(xiàn)實情況是，用戶在軟件開發(fā)過程中面臨著三大開源軟件安全難題：不清楚在開發(fā)過程中使用了哪些開源軟件，不清楚使用的開源軟件中存在哪些安全風險，當有開源軟件出現(xiàn)新的漏洞時也不清楚是否會影響到正在運行的信息系統(tǒng)。

　　這些困難給信息系統(tǒng)的安全風險管控帶來了極大的挑戰(zhàn)，開源衛(wèi)士幫助行業(yè)用戶破解三大開源安全難題：

　　讓用戶“看見”信息系統(tǒng)中包含了哪些開源軟件

　　軟件開發(fā)過程中會引入大量開源軟件，但用戶的安全管理者或者開發(fā)管理者常常不清楚自身的信息系統(tǒng)中到底引入了多少開源軟件，引入了哪些開源軟件。奇安信開源衛(wèi)士可以識別軟件系統(tǒng)中包含了哪些開源軟件以及開源軟件之間的關聯(lián)關系，形成開源軟件可視化清單。

　　讓用戶“知道”使用的開源軟件中存在哪些安全風險

　　軟件中使用的開源軟件可能會存在已知安全漏洞，且這些開源軟件背后調用或依賴的其他開源軟件也可能會存在安全漏洞，這種深層關聯(lián)下的開源軟件漏洞很難通過漏洞掃描工具發(fā)現(xiàn)。奇安信開源衛(wèi)士通過軟件成分分析技術可以發(fā)現(xiàn)這些隱藏在開源軟件背后的深層次安全漏洞，讓用戶清楚“知道”信息系統(tǒng)中存在多少已知安全漏洞。

　　讓用戶“掌握”最新開源軟件漏洞情報

　　用戶從海量網絡安全情報信息中，獲取影響企業(yè)自身的開源軟件漏洞信息，成本高、難度大。奇安信開源衛(wèi)士在云端監(jiān)控眾多開源軟件漏洞情報來源，通過清洗、匹配、關聯(lián)等一系列自動化數(shù)據分析處理后，向用戶及時推送開源軟件漏洞信息，讓用戶及時獲取到影響其自身安全的最新開源軟件漏洞情報。

　　奇安信開源衛(wèi)士是國內首個成熟的商用軟件成分分析系統(tǒng)，在多年技術積累基礎上，通過開源組件成分分析、依賴分析、特征分析、引用識別等多種技術組合能夠精確識別軟件中的開源組件信息，技術完全自主創(chuàng)新。同時，奇安信開源衛(wèi)士團隊還運營著國內規(guī)模最大的“開源項目檢測計劃”，收集了3000多萬個開源項目的版本信息，積累了大量的開源軟件基礎數(shù)據。奇安信開源衛(wèi)士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD)，能夠滿足行業(yè)用戶相應的監(jiān)管要求。

　　此外，用戶使用的開源軟件有時不能通過升級軟件版本進行漏洞修復。奇安信開源衛(wèi)士依托奇安信代碼安全實驗室專業(yè)的漏洞研究能力，可以為用戶提供開源軟件漏洞危害評級、漏洞補丁分析、漏洞補丁方案等高端漏洞修復咨詢服務。