OpenSCA开源社区成果说明

项目背景

智能时代，软件定义一切。随着开发模式的敏捷化转型，开源代码在软件制品中的占比越来越大，开源软件已然成为软件供应链的重要组成部分。由于其特殊性，开源代码的引入增加了软件应用的风险面，增强了软件供应链安全的脆弱性，开源风险治理成为软件供应链安全治理中至关重要的一环。

当前，最常见的开源风险治理方案是依托SCA（Software Composition Analysis，软件成分分析）技术对代码中引入的开源组件进行组件依赖梳理和漏洞风险分析。SolarWinds事件以来，经过多年发展，国内外均不乏优秀的SCA产品及实践方案。

然而，闭源SCA产品存在成本较高、封闭性较强的问题。成本方面，闭源产品的采购、部署、使用和运营需要一定成本，导致其无法适配中小企业、开源项目、免费软件等更需要开源风险治理但更缺乏相关意识及管理流程的场景。封闭性方面，个人、组织及企业开源治理的场景千差万别，用同一套厂商视角的标准方案难以灵活拓展、高效覆盖。因此，开源的SCA方案对开源风险缓解及治理落地有独特的价值。

纵观国际，国外的开源SCA起步较早、发展较快：OWASP早在2012年就推出了开源的Dependency Check，如今炙手可热的Snyk也是基于开源的SCA工具为全球用户提供开源安全解决方案。

作为开源SCA社区，OpenSCA率先提出“用开源的方式做开源风险治理”，服务于企业、组织及个人用户多种场景的开源风险治理需求。

项目价值

国际层面，OpenSCA作为影响力的开源SCA项目，充分参与国际竞争与实践。基于领先的自主检测引擎及国内庞大用户群体，OpenSCA在OWASP Dependency Check及英国Snyk形成的既有市场格局下，以破局者的姿态为国际用户带来了前所未有的工具价值和实践经验，为求后起而先至，实现弯道超车。

国家层面，OpenSCA填补了开源SCA工具的空白，同时作为开源安全的度量工具构成了国家开源基础设施的一部分。与常见的操作系统、数据库等基础设施不同，安全基础设施虽然并不处于技术架构底层，却也是整个开源产业及上下游相关领域健康发展的基础保障。OpenSCA有效保证了SCA这一安全基础设施的安全透明与自主可信，解决了“卡脖子”的潜在风险。

行业层面，作为开源共享的解决方案，OpenSCA可在用户及其上下游的供应链上作为安全入口发挥作用，输出制品清单给到供应链上下游环节用于共享、检查及管理开源组件的引入和风险情况，协助建立贯穿整个链条的安全管理机制，突破单个用户的场景限制，实现开源安全的共担、共享、共建。

用户层面，开源的OpenSCA为国内用户提供了Dependency Check和Snyk的替代方案；相较国外版本更符合国内用户的使用习惯及场景，文档也更加友好。通过OpenSCA，用户可以根据个性化的需求及自身场景实现0成本、高扩展性的开源风险治理，通过安全工具的引入丰富企业内部的开源生态建设。此外，OpenSCA使用开放宽松的Apache 2.0开源协议，允许用户利用OpenSCA免费开发属于自身的商业化软件，充分激发了SCA工具的市场化应用。

核心优势

商业版本在前，开源版本在后。在商业版SCA产品的能力经过充分的市场验证后，我们才对其核心引擎进行了开源，发布了开源的OpenSCA。换言之，OpenSCA的逻辑设计和技术实现并非空中楼阁，市场的选择和打磨为其提供了坚实可靠的底层基础。

能力完整闭环，配置应用灵活。OpenSCA为用户提供检测、报告及管理的闭环能力，覆盖离线/在线、自主配置漏洞库、私服库等多种场景，支持插件、命令行、云平台等多种运行模式，基础能力完整、场景适配多样。

用户社区庞大，社区生态良好。以开源的OpenSCA为基础，我们搭建起了良性运作的用户社区，社区涵盖信息通信、泛互联网、车联网、金融、能源等众多行业用户，为万千中国数字安全实践者们构筑起交流的平台与创新的基地。

当前成果

信通院云计算开源产业联盟《中国DevOps现状调查报告2022》显示，OpenSCA是国内用户量最多的SCA工具；华为、腾讯、美团、京东、vivo、联想、中国电信、人民银行、北京银行、龙蜥社区（OpenAnolis OS）、OpenCloud OS等近千家企业及开发社区都是OpenSCA的用户，同时OpenSCA社区还用有数以万计的个人用户。

参与共建开源生态，积极拓展对外合作。OpenSCA项目组的核心成员参与了众多开源相关报告、白皮书及多项行业标准的起草与制定工作。此外，OpenSCA还与国内最大的开源项目托管平台Gitee合作，为开源项目提供开源安全治理能力；与国际Linux基金会Open Chain合作，推动开源合规标准落地；与OpenSDV合作，共同推进汽车行业开源治理实践。

获得多项国际国内认可。

持续发力

国际层面，OpenSCA将加快国际化步伐，进一步完善国际语言版的产品内容和文档体系，吸纳全球的开发者贡献力量，全力打破Dependency Check和Snyk等英美开源工具在开源安全领域的垄断历史，为世界各地的个人、组织及企业用户提供基于中国实践的开源治理方案。2023年12月，OpenSCA社区将前往日本参与顶级国际开源治理峰会Open Compliance Summit，首次推广来自中国的开源治理方案。