OpenSCA開源社區成果說明

• 項目背景

智能時代，軟件定義一切。隨著開發模式的敏捷化轉型，開源代碼在軟件制品中的占比越來越大，開源軟件已然成為軟件供應鏈的重要組成部分。由于其特殊性，開源代碼的引入增加了軟件應用的風險面，增強了軟件供應鏈安全的脆弱性，開源風險治理成為軟件供應鏈安全治理中至關重要的一環。

當前，最常見的開源風險治理方案是依托SCA（Software?Composition Analysis，軟件成分分析）技術對代碼中引入的開源組件進行組件依賴梳理和漏洞風險分析。SolarWinds事件以來，經過多年發展，國內外均不乏優秀的SCA產品及實踐方案。

然而，閉源SCA產品存在成本較高、封閉性較強的問題。成本方面，閉源產品的采購、部署、使用和運營需要一定成本，導致其無法適配中小企業、開源項目、免費軟件等更需要開源風險治理但更缺乏相關意識及管理流程的場景。封閉性方面，個人、組織及企業開源治理的場景千差萬別，用同一套廠商視角的標準方案難以靈活拓展、高效覆蓋。因此，開源的SCA方案對開源風險緩解及治理落地有獨特的價值。

縱觀國際，國外的開源SCA起步較早、發展較快：OWASP早在2012年就推出了開源的Dependency?Check，如今炙手可熱的Snyk也是基于開源的SCA工具為全球用戶提供開源安全解決方案。

作為開源SCA社區，OpenSCA率先提出“用開源的方式做開源風險治理”，服務于企業、組織及個人用戶多種場景的開源風險治理需求。

• 項目價值

國際層面，OpenSCA作為影響力的開源SCA項目，充分參與國際競爭與實踐。基于領先的自主檢測引擎及國內龐大用戶群體，OpenSCA在OWASP Dependency Check及英國Snyk形成的既有市場格局下，以破局者的姿態為國際用戶帶來了前所未有的工具價值和實踐經驗，為求后起而先至，實現彎道超車。

國家層面，OpenSCA填補了開源SCA工具的空白，同時作為開源安全的度量工具構成了國家開源基礎設施的一部分。與常見的操作系統、數據庫等基礎設施不同，安全基礎設施雖然并不處于技術架構底層，卻也是整個開源產業及上下游相關領域健康發展的基礎保障。OpenSCA有效保證了SCA這一安全基礎設施的安全透明與自主可信，解決了“卡脖子”的潛在風險。

行業層面，作為開源共享的解決方案，OpenSCA可在用戶及其上下游的供應鏈上作為安全入口發揮作用，輸出制品清單給到供應鏈上下游環節用于共享、檢查及管理開源組件的引入和風險情況，協助建立貫穿整個鏈條的安全管理機制，突破單個用戶的場景限制，實現開源安全的共擔、共享、共建。

用戶層面，開源的OpenSCA為國內用戶提供了Dependency?Check和Snyk的替代方案；相較國外版本更符合國內用戶的使用習慣及場景，文檔也更加友好。通過OpenSCA，用戶可以根據個性化的需求及自身場景實現0成本、高擴展性的開源風險治理，通過安全工具的引入豐富企業內部的開源生態建設。此外，OpenSCA使用開放寬松的Apache 2.0開源協議，允許用戶利用OpenSCA免費開發屬于自身的商業化軟件，充分激發了SCA工具的市場化應用。

• 核心優勢

商業版本在前，開源版本在后。在商業版SCA產品的能力經過充分的市場驗證后，我們才對其核心引擎進行了開源，發布了開源的OpenSCA。換言之，OpenSCA的邏輯設計和技術實現并非空中樓閣，市場的選擇和打磨為其提供了堅實可靠的底層基礎。

能力完整閉環，配置應用靈活。OpenSCA為用戶提供檢測、報告及管理的閉環能力，覆蓋離線/在線、自主配置漏洞庫、私服庫等多種場景，支持插件、命令行、云平臺等多種運行模式，基礎能力完整、場景適配多樣。

用戶社區龐大，社區生態良好。以開源的OpenSCA為基礎，我們搭建起了良性運作的用戶社區，社區涵蓋信息通信、泛互聯網、車聯網、金融、能源等眾多行業用戶，為萬千中國數字安全實踐者們構筑起交流的平臺與創新的基地。

• 當前成果

信通院云計算開源產業聯盟《中國DevOps現狀調查報告2022》顯示，OpenSCA是國內用戶量最多的SCA工具；華為、騰訊、美團、京東、vivo、聯想、中國電信、人民銀行、北京銀行、龍蜥社區（OpenAnolis OS）、OpenCloud OS等近千家企業及開發社區都是OpenSCA的用戶，同時OpenSCA社區還用有數以萬計的個人用戶。

參與共建開源生態，積極拓展對外合作。OpenSCA項目組的核心成員參與了眾多開源相關報告、白皮書及多項行業標準的起草與制定工作。此外，OpenSCA還與國內最大的開源項目托管平臺Gitee合作，為開源項目提供開源安全治理能力；與國際Linux基金會Open?Chain合作，推動開源合規標準落地；與OpenSDV合作，共同推進汽車行業開源治理實踐。

獲得多項國際國內認可。

• 持續發力

國際層面，OpenSCA將加快國際化步伐，進一步完善國際語言版的產品內容和文檔體系，吸納全球的開發者貢獻力量，全力打破Dependency?Check和Snyk等英美開源工具在開源安全領域的壟斷歷史，為世界各地的個人、組織及企業用戶提供基于中國實踐的開源治理方案。2023年12月，OpenSCA社區將前往日本參與頂級國際開源治理峰會Open Compliance Summit，首次推廣來自中國的開源治理方案。

行業層面，OpenSCA社區將進一步拓展與信創產業的融合創新，加快與國產開源操作系統、CI/CD工具、DevOps工具等的技術集成，為整個開源生態提供基礎安全能力，為更多用戶提供無感知、零成本的開源風險治理能力。