FOSSID简介: FOSSID总部位于瑞典首都斯德哥尔摩。由一群开源技术专家组成的研发团队,该团队拥有18年的开源研发、管理、测试经验。 在Github、Gitkraken等全球知名开源社区的开源代码检测工具排行榜均位列第一。而在中国的开源社区及开源治理白皮书中多次被提名。 作为开源治理的标杆,中国赛迪检测认证中心、中国赛宝实验室,中国电子技术标准化研究院塞西实验室,中国信息通信研究院,中国信息安全测评中心率先成为了该产品使用单位,其开具的检测报告就是由该产品进行检测做为依据的。 开源相关监管要求:
开源软件的价值及应用:
1.降低成本
2.提高效率
3.提升创新力
开源带来的风险有哪些?
合规性风险:
1.开源许可违规(法律诉讼、产品召回等)
2.自有代码相关知识产权泄露(被迫开源)
安全漏洞风险:
1.引入开源软件同时,被动引入安全漏洞。
无法满足海内/外监管部门要求:
1.软件外包合作,甲方的监管和免责要求。
2.国家相关机构,对自主知识产权和自主可控的监管要求。
开源许可证的分类及治理方法
开源许可证大致分为两类
1.开放型许可证(MIT、BSD、Apache等)
2.传染型许可证(MPL、LGPL、GPL、AGPL等)
用户代码中发现传染型许可证的治理方法
1.冗余删除
2.溯源替代
3.隔离开源
4.逻辑模仿
FOSSID能为您做什么?
开源软件合规性检测
1.支持所有语言。
2.能够精确到片段及片段式快速扫描。
3.支持盲审功能。
4.强大的开源知识库,目前超过3500万个开源项目,并且开源知识库定期更新。
安全漏洞扫描
1.扫描开源代码的同时,也同步扫描开源软件的安全漏洞。
2.支持超过16万种安全漏洞,与NVD同步。
FOSSID的应用场景
企业内部的代码检测需求:
1.项目开源之前,查找自有代码的开源风险。
2.针对闭源商业代码,也需要规避合规性风险。
政府部门监管政策对开源治理的要求:
1.国家项目对自主知识产权的要求。
2.国家对某些重要领域的风险防控要求。
国际合作中甲方提出的代码扫描需求:代码打包出口到海外,甲方要求出具检测报告免责。
司法鉴定过程中的代码检测需求:软件知识产权纠纷案件中,代码检测是重要的参考依据。
企业兼并过程中的代码审计需求:邀请第三方审计,对收购标的进行软件资产评估。
FOSSID的工作原理:
FOSSID部署方式:
分布式部署
1.将知识库(KB)部署在私有云
2.WebApp可以在多地部署,提升扫描效率
3.开源代码扫描分布式管理
4.对网络质量要求高
本地部署
1.将知识库(KB)和WebApp都在本地网部署
2.可以组成便携式系统(KB+WebApp)
3.硬件部署成本较低
4.安全性提高
FOSSID的优势技术优势
1.算法优势-比传统扫描分析快一个数量级。
2.数据优势-拥有目前世界上最大的开源知识库及安全漏洞库。
3.部署优势-支持云部署和本地离线式部署。
4.后发优势-吸取传统优点,改进缺陷,稳定可靠。
客户反馈
1.在全球开源治理领域,客户群体的庞大是对产品最高的认可。
2.中国知名通信厂商和测评机构高度评价FOSSID。
技术支持
1.本地技术支持团队,10年以上开源检测经验。
有兴趣关注~
Contact us:
Sale:李先生
Mobile/Wechat:13552863111