OpenSCA受邀出席2023 Open Compliance Summit

近日，由Linux基金会主办的2023 Open Compliance Summit（开放合规峰会，简称OCS）在日本东京隆重召开。悬镜安全旗下全球极客开源数字供应链安全社区OpenSCA受邀参与，OpenSCA社区运营负责人奇秋月以“Open Source Compliance & Security Management Based on SBOM”（基于SBOM的开源合规和安全管理）为主题发表主题演讲，与参会嘉宾共同探讨应对开源风险治理的中国方案。

OCS是开源领域唯一的国际化合规峰会，仅面向Linux基金会成员和部分受邀者开展，本次参会者包括IBM、华为、LG电子等国际知名企业。OCS为来自不同公司和不同背景的参与者提供一个中立的环境，以讨论与数字供应链管理合规性、安全保证等相关的最佳实践（流程、策略、指南、工具等），确保全球数字供应链高效运转。

活动现场，OpenSCA社区运营负责人奇秋月在演讲中介绍了SBOM在软件开发生命周期中的应用以及其带来的效率和风险。OpenSCA在治理SBOM安全风险具有显著优势，除了明显的低成本和开放的二次开发之外，OpenSCA的适用范围也更广，不会局限于单一厂商视角，能为用户提供兼容透明、上下游开放的解决方案。

此外，OpenSCA向与会嘉宾重点讲解了中国首个数字供应链安全SBOM格式——DSDX。基于OpenCSA社区大量用户实践，OpenSCA联合开源中国、电信研究院、中兴通讯等权威研究机构、甲方用户和安全厂商多方力量，共同推出更适配中国企业实战化应用实践场景的SBOM格式。
DSDX分割了最小集和扩展集以获得更高的灵活性和更好的维护；高度兼容SPDX、CycloneDX、SWID三大国际主流标准，通过DSDX ID可实现SBOM之间的相互参考和关联；DSDX记录了供应链流转信息、可追溯文件、组件，依赖的过程变化及其来源，保障SBOM的修改全程可追溯。
DSDX核心特点在于全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。1、全场景覆盖：覆盖数字供应链全场景，涵盖源码、二进制、镜像等不同阶段的物料清单，对组件、漏洞、许可证风险全面覆盖，提供更加透明化的SBOM管理；2、强大兼容性：兼容SPDX、CycloneDX、SWID国际标准和国内标准，但不止于主流规范，在最小元素集基础上扩展其他元素；3、供应链数据溯源：涵盖数字供应链流转信息、可追溯文件、组件，依赖的过程变化及其来源，保证SBOM的修改全程可追溯；4、强自身安全性：物料清单本身满足机密性要求和完整性要求，具备真实性校验、防篡改等保护机制。

作为全球首个开源数字供应链安全社区，OpenSCA屡获国内外权威认可，获评GVP（Gitee最有价值开源项目）、中国软博会“全球十大开源软件产品”、Cybersecurity Excellence Awards：Open-Source Security Gold Winner（开源安全金奖）等，OpenSCA深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，输出透明化的组件资产及漏洞风险清单，持续为企业及个人用户提供低成本、高精度、稳定易用的开源数字供应链安全解决方案。