近日，上海安勢(shì)信息技術(shù)有限公司(下稱安勢(shì)信息)對(duì)外宣布正式成為DevSecOps領(lǐng)域中國(guó)首家OpenChain項(xiàng)目會(huì)員。安勢(shì)信息將同高通、谷歌、微軟等其他全球企業(yè)共建可信、安全的軟件供應(yīng)鏈，共同維護(hù)開(kāi)源許可證合規(guī)領(lǐng)域的國(guó)際標(biāo)準(zhǔn)OpenChain ISO/IEC 5230。作為中國(guó)市場(chǎng)領(lǐng)先的軟件供應(yīng)鏈安全治理工具提供商，安勢(shì)信息的加入標(biāo)志著市場(chǎng)在自主選擇安全、許可證合規(guī)的工具等方面又邁出了重要一步。

　　OpenChain項(xiàng)目是由Linux基金會(huì)發(fā)起的一項(xiàng)旨在制定開(kāi)源軟件供應(yīng)鏈標(biāo)準(zhǔn)，幫助全球企業(yè)更高效地解決開(kāi)源許可證一致性的問(wèn)題。

　　安勢(shì)信息創(chuàng)始人兼總裁薛植元表示："我們很高興在開(kāi)源生態(tài)領(lǐng)域與全球其他成員一起加入OpenChain。從2016年開(kāi)始，OpenChain一直致力于為市場(chǎng)上不同規(guī)模的企業(yè)提供可信賴與合規(guī)一致的開(kāi)源供應(yīng)鏈。安勢(shì)信息將攜手OpenChain，在工具、培訓(xùn)、研究、最佳實(shí)踐和咨詢方面，為開(kāi)源社區(qū)做出持續(xù)貢獻(xiàn)。開(kāi)源社區(qū)和OpenChain的協(xié)作基因也將有助于我們協(xié)調(diào)和利用業(yè)內(nèi)最佳資源。我們相信，這樣的緊密合作將會(huì)讓軟件供應(yīng)鏈變得更加安全和可靠。"

　　在混源開(kāi)發(fā)不可避免的同時(shí)，一系列的安全和合規(guī)風(fēng)險(xiǎn)也伴隨著整個(gè)軟件開(kāi)發(fā)生命周期，并影響著整個(gè)軟件供應(yīng)鏈。安勢(shì)信息以行業(yè)領(lǐng)先的SCA產(chǎn)品作為切入點(diǎn)，圍繞DevSecOps流程，從工具到流程再到組織，堅(jiān)持持續(xù)創(chuàng)新，打造獨(dú)具特色的端到端最佳實(shí)踐。經(jīng)過(guò)團(tuán)隊(duì)成員多年的持續(xù)積累，安勢(shì)信息目前已與多家高科技頭部企業(yè)建立了深厚的合作關(guān)系。

　　"就人口而言，中國(guó)是世界上最大的單一市場(chǎng)，也是全球供應(yīng)鏈中最重要的一部分，"OpenChain的總經(jīng)理Shane Coughlan說(shuō)到："安勢(shì)信息代表了圍繞開(kāi)源的本土企業(yè)領(lǐng)先實(shí)力的發(fā)展。與產(chǎn)品交付能力緊密相關(guān)的是，產(chǎn)品的支持與服務(wù)流程需要不斷改善。在這個(gè)十年的開(kāi)端，SCA一直是開(kāi)源供應(yīng)鏈中重要的組成部分，在未來(lái)幾年里，它仍將是至關(guān)重要的。"

　　在隨后OpenChain組織召開(kāi)的第42期線上研討會(huì)上，上海安勢(shì)信息技術(shù)有限公司(下稱安勢(shì)信息)的技術(shù)市場(chǎng)總監(jiān)王峰受邀出席并發(fā)表名為《SCA廠商在中國(guó)市場(chǎng)面臨的機(jī)遇與挑戰(zhàn)》的全英文主題演講。

　　王峰擁有威斯康星大學(xué)麥迪遜分校電子工程學(xué)士、賓夕法尼亞大學(xué)電子工程碩士學(xué)位，曾擔(dān)任美國(guó)有線電視運(yùn)營(yíng)商Comcast高級(jí)軟件工程師，負(fù)責(zé)網(wǎng)絡(luò)自動(dòng)化軟件開(kāi)發(fā)等工作，作為企業(yè)內(nèi)部開(kāi)源貢獻(xiàn)者(Innersource Contributor)將項(xiàng)目和軟件在企業(yè)內(nèi)部進(jìn)行分享使用。他在美國(guó)工作學(xué)習(xí)11年，在感受到開(kāi)源軟件在中國(guó)市場(chǎng)的蓬勃發(fā)展后，王峰選擇回國(guó)并加入安勢(shì)信息。

　　正如王峰在《SCA廠商在中國(guó)市場(chǎng)面臨的機(jī)遇與挑戰(zhàn)》主題演講中提到的，開(kāi)源軟件在中國(guó)市場(chǎng)經(jīng)歷了由萌芽到蓬勃發(fā)展的階段。

　　開(kāi)源軟件在中國(guó)的緣起、落地及發(fā)展

　　中國(guó)的開(kāi)源軟件產(chǎn)業(yè)相較于歐美發(fā)達(dá)國(guó)家而言起步相對(duì)較晚，大致經(jīng)歷了從萌芽、云計(jì)算&人工智能加速落地和高速發(fā)展的三個(gè)階段。目前，中國(guó)已經(jīng)逐步建立了相對(duì)成熟的開(kāi)源生態(tài)系統(tǒng)。

　　在中國(guó)的開(kāi)源生態(tài)領(lǐng)域，由云計(jì)算、科技企業(yè)孵化、創(chuàng)辦的開(kāi)源企業(yè)/項(xiàng)目和由開(kāi)發(fā)者社區(qū)、代碼托管平臺(tái)、開(kāi)源基金會(huì)、開(kāi)源聯(lián)盟共同構(gòu)成了開(kāi)源軟件市場(chǎng)的參與主體。

　　中國(guó)企業(yè)在積極參與全球開(kāi)源生態(tài)建設(shè)的過(guò)程中，影響力與日俱增。截止目前GitHub有755萬(wàn)名中國(guó)開(kāi)發(fā)者，人數(shù)位居全球第二;更多的中國(guó)企業(yè)進(jìn)入全球開(kāi)源領(lǐng)域行業(yè)的前列;中國(guó)正成為全球開(kāi)發(fā)者社區(qū)中不可忽視的重要力量。

　　此外，在這一時(shí)期，中國(guó)本土創(chuàng)辦了很多的開(kāi)源組織和社區(qū)，企業(yè)積極捐獻(xiàn)開(kāi)源項(xiàng)目，相關(guān)開(kāi)源基金會(huì)的成立，共同推動(dòng)中國(guó)開(kāi)源產(chǎn)業(yè)發(fā)展壯大。安勢(shì)信息此次加入OpenChain，很榮幸能與中國(guó)信通院、華為和OPPO等伙伴共建可信、安全的軟件供應(yīng)鏈。

　　開(kāi)源產(chǎn)業(yè)同樣引起了國(guó)家層面的高度重視。政府將開(kāi)源明確列入"十四五"規(guī)劃中，并從法律層面明確加強(qiáng)對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)。一些因違反開(kāi)源許可證使用協(xié)議( 例如: GPL 3.0 ) 引發(fā)的版權(quán)糾紛案也引起了企業(yè)對(duì)開(kāi)源許可證合規(guī)的重視。

　　國(guó)內(nèi)的開(kāi)源生態(tài)發(fā)展經(jīng)歷了一個(gè)從無(wú)都有，再到蓬勃發(fā)展過(guò)程，對(duì)全球開(kāi)源的貢獻(xiàn)和影響力也會(huì)越來(lái)越大。

　　SCA的發(fā)展 挑戰(zhàn)與機(jī)遇并存

　　Apache Log4j漏洞事件的爆發(fā)，讓開(kāi)源軟件供應(yīng)鏈安全的話題熱度持續(xù)走高的同時(shí)，也為網(wǎng)絡(luò)安全市場(chǎng)吹來(lái)了新的風(fēng)向。隨著開(kāi)源風(fēng)險(xiǎn)的持續(xù)擴(kuò)大，SCA(Software Composition Analysis，軟件成分分析)正在得到更廣泛的應(yīng)用。

　　為了在SCA產(chǎn)品需求爆發(fā)式增長(zhǎng)的市場(chǎng)中搶占高地，應(yīng)用安全賽道涌現(xiàn)了一大批新的SCA廠商。據(jù)統(tǒng)計(jì)，中國(guó)SCA初創(chuàng)公司的數(shù)量較去年增長(zhǎng)了1倍，資本也紛紛入局，開(kāi)源領(lǐng)域的融資案例數(shù)量和資金總額不斷創(chuàng)新高。

　　放眼全球，當(dāng)前國(guó)內(nèi)企業(yè)在軟件安全方面的資金投入僅占全球企業(yè)軟件安全平均投入金額的三分之一，中國(guó)網(wǎng)絡(luò)安全市場(chǎng)的空間巨大。

　　隨后，王峰分別從政治、經(jīng)濟(jì)、文化和技術(shù)四個(gè)角度分別闡釋了SCA廠商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)。機(jī)遇來(lái)自于在國(guó)家產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的大環(huán)境下，政府對(duì)開(kāi)源產(chǎn)業(yè)高度重視，相關(guān)政策和知識(shí)產(chǎn)權(quán)法律保護(hù)水平都有了顯著提升。

　　關(guān)于SCA廠商面臨的挑戰(zhàn)，王峰分別列舉了本土SCA廠商和海外SCA廠商亟需解決的問(wèn)題并展開(kāi)說(shuō)明。中國(guó)開(kāi)源軟件產(chǎn)業(yè)起步相對(duì)較晚，相關(guān)專業(yè)技術(shù)人才相對(duì)匱乏;另一方面，企業(yè)對(duì)開(kāi)源合規(guī)的重要性認(rèn)識(shí)還不夠;很多廠商提供的SCA工具往往更多的是基于安全而非合規(guī)，對(duì)于提供成熟的開(kāi)源合規(guī)治理工具方面仍有很多經(jīng)驗(yàn)需要積累

　　海外SCA廠商在進(jìn)入中國(guó)市場(chǎng)時(shí)也同樣面臨挑戰(zhàn)。例如：對(duì)本地支持較弱，不能提供二次開(kāi)發(fā)服務(wù)，缺少靈活性;而隨著SaaS技術(shù)的發(fā)展，海外SCA供應(yīng)商也在逐漸減少對(duì)本地化部署的支持，不能滿足部分有本地化部署需求的用戶;或因?yàn)橐恍┢渌蛩貙?duì)國(guó)內(nèi)客戶斷供，無(wú)法為國(guó)內(nèi)企業(yè)提供持續(xù)可靠的支持。

　　以上的外部因素和內(nèi)部因素共同構(gòu)成了中國(guó)SCA廠商面臨的機(jī)遇與挑戰(zhàn)。

　　擁抱開(kāi)源，攜手OpenChain共建開(kāi)源生態(tài)

　　作為中國(guó)市場(chǎng)領(lǐng)先的軟件供應(yīng)鏈安全治理工具提供商，安勢(shì)信息加入OpenChain組織，將極大地促進(jìn)開(kāi)源許可證合規(guī)領(lǐng)域的國(guó)際標(biāo)準(zhǔn)OpenChain ISO/IEC 5230在中國(guó)市場(chǎng)的推廣，并幫助其在企業(yè)落地實(shí)施。

　　同時(shí)，作為OpenChain的一員，安勢(shì)信息將持續(xù)對(duì)市場(chǎng)輸出建立安全、可靠軟件供應(yīng)鏈的重要性的理念，不斷提高市場(chǎng)對(duì)SCA工具和開(kāi)源合規(guī)的重要性的認(rèn)識(shí)。

　　安勢(shì)信息在高速發(fā)展的同時(shí)，一直高度重視與開(kāi)源生態(tài)各領(lǐng)域的協(xié)作。公司近期也加入了OpenSSF (開(kāi)源軟件安全基金會(huì))，有幸成為國(guó)內(nèi)第一家加入該基金會(huì)的SCA廠商。并放眼全球，與全球領(lǐng)先的國(guó)際開(kāi)源組織和微軟、谷歌、華為等伙伴一起攜手共建安全可靠的開(kāi)源軟件供應(yīng)鏈。

　　以技術(shù)為導(dǎo)向，以客戶為中心。安勢(shì)信息始終相信市場(chǎng)和客戶才是我們保持創(chuàng)新性和先進(jìn)性的源泉和基石。"正本清源，不止于安全"，安勢(shì)信息將堅(jiān)持在軟件供應(yīng)鏈風(fēng)險(xiǎn)治理上持續(xù)發(fā)力，不斷完善產(chǎn)品和最佳實(shí)踐。未來(lái)，安勢(shì)信息將攜手OpenChain，持續(xù)提升市場(chǎng)和企業(yè)對(duì)SCA關(guān)注和投入，更加緊密地?fù)肀ч_(kāi)源。