Checode奇科厚德—用開源的思維做開源風險治理

　　隨著數字化應用的高速發展，軟件已被各行各業廣泛應用，成為必不可少的一部分。全球范圍內90%以上的云服務器操作系統、80%以上的移動操作系統都基于開源軟件。我國銀行、能源、國防、醫療、電力等重要行業運行的系統大量使用開源軟件。全球范圍內有關軟件供應鏈安全的攻擊事件層出不斷，對個人、企業，甚至國家安全都造成了嚴重威脅。

　　Checode奇科厚德為什么要做開源軟件供應鏈治理工具？

　　奇科厚德研發總經理胡濱先生在開源軟件治理方面已經有十五年以上的經驗，是國內最早從事該領域的技術專家，曾經服務過華為、新華三等國內開源治理領先的企業，他在工作過程中非常重視技術積累，感受到這個方向即將成為風口，于是以創業者身份投資這一領域。

（奇科厚德研發總經理胡濱先生）

　　胡濱表示，人寫的軟件就一定有漏洞，開源軟件也不例外，平均每個代碼庫約有158個漏洞，這些漏洞會被引用，從而影響軟件產品的安全。奇科厚德的初心就是要持續專注于技術創新應用，通過采用開源軟件供應鏈治理工具，可以有效保障軟件產品的安全性和可靠性，減少潛在的風險和損失，守護中國開源安全。我們希望通過自身努力，在這一技術領域實現不斷突破。

　　奇科厚德定位是專注于開源代碼合規和安全性檢測工具的供應商，已先后開發了具有自主知識產權的 Checode 開源助手、 軟件成分分析（SCA）、 代碼同源分析（CHS） 、漏洞獵手V-Hunter等分析工具，在功能、測試準確度及測試效率上達到國際領先水平，可實現同類產品進口替代。Checode開源助手是首家以代碼片段掃描技術通過中國信通院開源治理工具評估的產品，被評為《2022-2023年度國產開源軟件治理工具優秀產品》。公司多次參與國家級信創檢測機構的工作，為其提供測試工具和技術支持。多家信創企業用戶采用我們的產品進行代碼自查和研發改進，快速通過信創測試。

　　用戶之所以選擇奇科厚德，是因為奇科厚德給他們提供了價值。這里面有個非常關鍵的點，就是我們一直在不斷思考和探索，幫助企業進行開源軟件治理。

　　我們研發—Checode SCA

　　據胡濱介紹，在SCA工具領域，公司首先攻克的是這個領域中最難的、也是國際上最多采用的代碼片段掃描技術，積累了龐大的開源知識庫。這兩年，又相繼研發了代碼依賴分析和二進制代碼分析技術。

　　Checode SCA采用包含代碼片段掃描、依賴代碼分析、二進制代碼分析的三技術分析引擎系統，分析被測軟件源代碼中的開源組件和對外依賴的開源組件，發現項目代碼中的開源成份和自研成份，形成軟件材料清單--SBOM，并根據SBOM解析組件對應的開源許可證義務及許可證沖突，幫助企業識別代碼合規性風險；根據SBOM關聯組件漏洞知識庫以及直接查找漏洞代碼，獲得對應的開源漏洞信息和修復建議，讓企業及時解決開源漏洞安全隱患；SBOM中記錄的開源組件在未來出現新的漏洞時，系統通過郵件通知管理員，提醒用戶及時修復漏洞，消除風險?？蓱脠鼍芭c解決方案

　　軟件發布前的安全風險評估：企業通過二進制成分分析服務，可以在產品發布前通過開放API進行安全風險評估。這不僅有助于提前識別合規風險，降低合規風險，還能在測試階段排查潛在的安全風險，確保發布包不會在市場中出現已知漏洞、不安全配置、信息泄露等問題。

　　開源軟件引入的全面評估：支持企業在引入開源軟件時進行全面評估。從惡意代碼檢測到對制品包的風險評估，企業可以在最早的階段識別潛在的安全風險，包括漏洞、License合規風險等，從而保障引入的開源軟件的可靠性。

　　用戶之所以選擇奇科厚德，是因為奇科厚德給他們提供了價值。

　　胡濱表示我們一直在不斷思考和探索，如何幫助企業進行開源軟件治理。奇科厚德已擁有最全面的開源知識庫，開源知識庫包含超2000萬以上開源組件，收錄安全漏洞50W+。收錄主流OSI與FSF認證許可證200+，許可證數據庫含2000+開源許可證。服務于金融、通信、電商、汽車等多個行業的用戶。

　　胡濱認為，近些年軟件供應鏈安全概念的普及和推廣，開源治理的重要性和需求也日益凸顯。越來越多的機構和企業認識到，開源軟件已經成為自身軟件的重要組成部分，而開源治理則是保障軟件質量、安全和合規性的關鍵。Checode SCA集成了多個開源管理平臺的功能，包括代碼審查、依賴管理、許可證合規性檢查等。能夠幫助企業實現全面的開源管理，從開發到部署，從合規性到安全性，全方位保障企業的利益。未來，我們將繼續關注開源治理的最新動態和技術趨勢，不斷推出創新的產品和服務，為國內用戶提供更加優秀的開源治理解決方案，共同推動開源生態的健康發展。