随着软件开发的日益复杂化和开源组件的广泛应用，软件供应链安全已经成为不可忽视的重要环节。许多企业在开发过程中依赖大量的开源软件组件，这些组件虽然可以加快开发速度和降低成本，但同时也带来了潜在的安全风险和许可证合规性问题。为了应对这些挑战，三合安信作为中国最早从事软件供应链安全产品的核心供应商之一，早在2016年便开始在中国市场推广国际知名的软件成分分析工具——FOSSID平台。此举标志着我国在软件供应链安全领域向国际先进水平的又一次靠拢。

合作背景

国家工业信息安全发展研究中心（简称电子一所）是国内领先的数字信息技术研究与开发机构，其在软件安全领域的贡献尤为突出。电子一所主要服务于中国的大型国有企业和关键基础设施的信息化项目，承担着保障国家信息安全的重要责任。为了进一步提升软件产品的安全性和合规性，电子一所对多种软件安全工具进行了广泛的评选和测试。最终，他们选择采用FOSSID作为其软件供应链安全检测工具，旨在加强对软件项目中开源组件使用的监控与管理，以确保其服务的各大项目在安全性和合规性上达到更高标准。

FOSSID平台的特点

FOSSID平台在电子一所的项目中展示了其显著的优势和特点：

• 全面识别：FOSSID拥有庞大的开源软件知识库，能够全面、准确地识别软件项目中使用的所有开源组件，其识别率在全球范围内处于领先地位。该平台利用其丰富的数据库和强大的算法帮助用户迅速了解项目中使用的开源软件情况，防止因未知组件而导致的安全风险。识别的全面性和准确性为企业的开源组件管理提供了有力保障。

• 风险评估：平台内置了丰富的安全漏洞数据库和许可证信息库。FOSSID能够对识别出的开源组件进行多维度的风险评估，包括安全漏洞分析和许可证合规性审核。它会根据评估结果提供适当的处置建议，帮助用户在早期发现并解决潜在问题。这种全面的风险管理能力使企业能够更有效地管理其软件供应链的安全性和合规性。

• 离线部署：考虑到数据安全和隐私保护的需求，FOSSID支持离线部署。这一功能设计确保了分析过程不受外部网络环境的影响，并且能够及时提供在线数据库更新。离线部署不仅提高了系统的安全性，还保证了数据的私密性，适用于数据敏感度高的行业和领域。

• 盲扫服务：在用户无法提供源代码的情况下，FOSSID采用独立程序提取用户源代码的特征进行扫描。这一技术使得其能够在没有源码的情况下依然达到扫描原代码的效果，消除了用户对于数据泄密的担忧。这种创新的盲扫服务为企业在不同开发阶段的组件管理提供了灵活性和便利性。

• 高效扫描：FOSSID提供业界领先的扫描速度，并且具备完全自动化的扫描服务。其用户友好的操作界面深受用户欢迎，大大提高了工作效率，降低了操作难度。高效的扫描能力使得企业能够快速识别和处理软件项目中的安全问题，确保项目进度和质量。

项目成果

基于FOSSID的SCA（软件成分分析）平台，电子一所为众多国有企业的信息化项目提供了优质高效的服务。该平台帮助这些企业识别并解决了软件项目中存在的代码漏洞和安全合规问题，从而显著提升了软件供应链的安全性。通过这些努力，电子一所在改善国内软件供应链环境方面做出了卓越的贡献。

在与FOSSID平台的合作过程中，电子一所不仅实现了对开源组件的有效管理，还推动了国内软件安全意识的提升。FOSSID测试平台在这一过程中展示了其应有的能力和价值，不仅成为了企业软件安全管理的重要工具，也推动了整个行业对软件供应链安全的重视与发展。通过与三合安信和电子一所的紧密合作，FOSSID成为国内众多企业软件安全管理体系中的重要组成部分，为国家信息安全保驾护航。

未来，随着技术的不断进步和应用的不断深化，FOSSID有望在更多领域发挥更大的作用，为我国软件产业的安全和发展提供更加坚实的保障。通过不断的创新和发展，FOSSID和三合安信将继续携手电子一所，推动我国在全球软件安全领域中的影响力，为保障我国的信息安全贡献力量。