技术公开课｜如何应对软件供应链安全问题？谈谈SCA技术落地实践

去年12月，Sonatype 发布了 “2021 年软件供应链状况报告”，报告显示开源供应、需求和安全漏洞全部呈现出“爆炸性”增长，其中开源供应量增加了20%，开源需求增加了73%，开源攻击也随之暴涨650%。

在开源共建日益盛行的今天，开源安全威胁已成为企业组织无法回避的话题。近期频频爆出的Log4j2漏洞、SpirngBoot的漏洞便与开源组件联系甚密。Log4j2漏洞不仅影响了6万+流行开源软件，还影响了70%以上的企业线上业务系统！而Log4Shell也被认为是目前互联网上最重要的安全漏洞，严重程度高达10分。

开源软件供应链攻击事件层出不穷、影响恶劣，企业迫切需要提升开源软件治理能力。SCA（Software Composition Analysis）软件成分分析作为一种跨开发语言的应用程序技术，可对Java、C/C++、Golang、Python、JavaScript等开发语言以及二进制构建产物进行分析，通过识别开源软件（OSS）及其版本，发现潜在的安全漏洞和许可证授权问题，将风险扼杀在摇篮内，有效增强安全合规风险管控和安全态势感知能力。

面对愈演愈烈的开源安全境况，当波及甚广的漏洞爆出时，企业如何快速判断并定位二进制文件中的隐患？追溯并验证开源组件修复情况？行之有效地实现安全管理？4月20晚19点，腾讯安全科恩实验室高级研究员leonxlfang将以“SCA技术的落地实践”为主题，结合腾讯安全科恩实验室在二进制SCA领域的成果－“BinaryAI ”的实践经验，介绍SCA的算法思路、数据存储与流转、服务结构，从一个开发者角度阐述企业级SCA能力是如何构建的。

感兴趣的朋友可以关注讯安全视频号进行预约，共同探讨SCA技术的应用之道，从而更好地应对开源软件市场面临的软件供应链安全挑战。