开源代码检测服务

开源代码检测服务

目前，大多数IT企业的软件开发都是在“混源”开发模式进行的，软件代码中会引入大量的开源代码（自主引入、或由第三方代码引入）。开源代码如果使用不当，可能会给企业带来未知的巨大风险。

    能够对代码进行合规性检查（这种检查也被称之为：开源代码扫描、代码自主知识产权检查、代码同源性检查等等），是通过扫描源代码，发现并确认其中存在的开源代码，及其版本、许可证（License）信息等，形成“材料清单”，让用户了解其代码中包含的开源代码成分，并分析这些开源代码可能带来的风险（知识产权风险、安全漏洞风险等）。

开源代码扫描适用的场景主要包括：

• IT企业对外来代码进行合规性审查

     软件企业对外部引入的代码进行扫描，发现其中的风险并采取解决措施，避免将外部代码的风险引入到自己的软件当中。

• 软件供应商（外包商）在交付软件之前，按照用户要求进行合规性审查

     软件供应商按照最终用户的要求，对代码进行扫描，如果发现不满足最终用户要求的代码，及时进行修改，最终将满足用户要求的代码交付给用户，同时将代码扫描的结果报告一并提交给最终用户。

• IT企业内部软件代码的合规性审查

     软件企业对其部分或者全部软件的代码进行合规性审查，在产品发布前发现软件的风险并予以解决。

国家重点项目验收都要进行源代码的检测，有自主可控要求的项目重点会检测开源代码的使用情况，在项目验收之前或项目研发过程中自己要进行开源检测。检查合规性和开源代码使用的比例是否符合要求！其它需要进行代码审查的场景，例如准备送去测试机构进行测试之前，自我检测是十分必要的。

主要测试项目：

(1)  开源组件开源许可证检测，检测被测代码中使用了哪些开源组件，以及这些组件使用的开源许可证。

(2)  许可证冲突检查，发现开源软件中包含的各种许可证之间的冲突。

(3)  开源漏洞检测，检测源码中包含开源软件所涉及到的安全漏洞。

(4)  开源组件占用百分比分析，主要用于自主可控研发项目中所使用的开源比例。

    我公司长期开展开源代码扫描服务业务，可提供开源代码扫描所需的全套软件、硬件环境，并有专业的技术人员为用户提供代码扫描服务和技术支持。