「微源」開源軟件可信中心倉

—— 提供安全可信的下載源，合規(guī)引入開源軟件，從源頭過濾風險

申請試用

開源軟件存在怎樣的風險？

開源軟件具有迭代周期短、模塊數(shù)量多、生產(chǎn)線上化、供應全球化、倉儲集中化、邊際成本低等特性，且使用路徑包括第三方鏡像倉庫、網(wǎng)盤、論壇、代碼托管平臺等存在安全隱患的軟件源，極易引入未知風險，如篡改、漏洞、投毒/后門、維護性中斷、開源合規(guī)風險等。

如何管理開源軟件的引入？

可信中心倉：從眾多可靠源頭獲取開源軟件，利用自動化工具進行持續(xù)評估，通過隔離、標記等手段實現(xiàn)開源軟件供應鏈安全左移，最大程度限制風險引入，對比高成本的“白名單”方案，可信中心倉是企業(yè)和機構管理開源軟件的最佳選擇。

產(chǎn)品簡介 | Product Introduction

「微源」可信中心倉從全球篩選高可靠開源軟件源，自動跟蹤、存儲海量開源軟件，并通過軟件成分分析(Software Composition Analysis)、漏洞情報比對、投毒風險識別、開源軟件維護性評估、開源許可證分析、開源軟件簽名驗證等多種技術進行持續(xù)評估與保障。企業(yè)和機構能夠便捷地將「微源」作為開源軟件源加入本地軟件制品管理工具或開發(fā)環(huán)境，獲得經(jīng)過評估的開源軟件以及各類相關實時開源風險，免除高昂的建設與維護投入，實現(xiàn)主動和統(tǒng)一的開源軟件管理。

核心功能 | Core functions

依賴關系分析 識別開源軟件直接依賴與間接依賴關系，生成物料清單(SBOM)，提升供應鏈可見性與自動化治理能力
有害軟件隔離 實時監(jiān)測開源軟件供應鏈投毒情報，通過關系圖譜與AI算法實現(xiàn)影響范圍判定，并由安全專家進行分析驗證，及時隔離有害軟件
持續(xù)跟蹤評估 基于比NVD更龐大的漏洞情報知識庫，結合多個開源漏洞風險識別與分析引擎，實現(xiàn)對開源軟件的持續(xù)跟蹤與評估，幫助用戶快速決策

開源許可合規(guī) 支持3200+種開源許可協(xié)議的識別與分析，并對協(xié)議條款進行解釋，100%覆蓋OSl(Open Source Initiative)
開源軟件評價 根據(jù)風險評估結果對開源軟件進行綜合評價，幫助企業(yè)和機構制定引入標準、優(yōu)化選型和替代策略
重要風險預警 對開源軟件供應鏈進行持續(xù)看護和長鏈追溯，及時發(fā)現(xiàn)相關風險并主動預警，實現(xiàn)應急響應能力

技術指標 | TECHNICAL INDEX

可支持的開源軟件開發(fā)語言等

可支持的開源軟件操作系統(tǒng)等

| Alpine | Ubuntu

價值優(yōu)勢 | value advantage

為開源軟件供應提供連續(xù)性保障
「微源」實現(xiàn)全球開源軟件存儲，在無法連接海外源的情況下仍可獲得已存儲的版本，保障業(yè)務連續(xù)性。此外，「微源」通過大規(guī)模開源軟件供應鏈分析，識別關鍵的開源軟件，能對其停止服務、中斷供應等事件進行評估，協(xié)助搜尋替代方案。

開源軟件源頭可信，供應鏈安全左移
「微源」在存儲開源軟件的同時，即通過多種分析引擎，完成對開源軟件篡改、漏洞、投毒/后門、維護性中斷、開源合規(guī)風險等全量風險的評估。提前隔離有害開源軟件，并幫助企業(yè)和機構在開源軟件引入之前知悉其安全狀況，將風險拒之門外。

協(xié)助開源軟件選型與生命周期管理決策
「微源」擁有實時更新的全球風險情報知識庫，對各類開源風險進行持續(xù)監(jiān)測，幫助企業(yè)和機構及時掌握待引入或已經(jīng)引入的開源軟件綜合風險，為開源軟件選型停用與替換提供決策依據(jù)。

降低開源治理成本，避免重復建設投入
「微源」將需要大量數(shù)據(jù)與工具支撐的評估分析工作前置，提供安全可信的開源軟件以及各維度評估結果，免除本地建設和維護成本，并讓用戶能夠通過評估結果快速進行開源治理與決策。

聯(lián)合權威機構共同進行源頭治理
「微源」充分發(fā)揮重大基礎設施的數(shù)據(jù)情報優(yōu)勢與技術能力優(yōu)勢，聯(lián)合權威安全評測機構，為企業(yè)和機構提供可信、安全、高效的開源軟件中心倉服務，幫助建立開源軟件可信供應長效機制，提升開源軟件供應鏈彈性與可靠性。