?

根據(jù)全球最具權威的IT研究與顧問咨詢公司Gartner發(fā)布數(shù)據(jù)來看，從2010年到2018年軟件程序代碼中采用開源框架或組件、第三方庫的比例每年以30%的速度在增長，大量的軟件系統(tǒng)引入了開源代碼，有的系統(tǒng)引用開源代碼比例甚至達到了80%以上，這在IT研發(fā)環(huán)節(jié)，大幅度提升了軟件研發(fā)的效率，降低了成本，但是開源軟件中大量缺陷、甚至安全漏洞也一并打包進入到了軟件部署包，從而進入了軟件供應鏈各個環(huán)節(jié)。

根據(jù)Gartner調查結果顯示，很多公司軟件研發(fā)企業(yè)的管理人員、程序員對于引入開源代碼的風險不了解或了解很少。雖然很多公司包括客戶通過引入驗收測試、第三方測試等手段對系統(tǒng)進行測試，但是目前軟件測試中，對于安全性測試僅僅局限在數(shù)據(jù)安全、權限安全等方面，對于系統(tǒng)安全測試重視程度較弱，思想上存在僥幸心理，認為自己的系統(tǒng)不會被惡意攻擊者攻擊。另外，由于目前國內尚無對軟件代碼中第三方庫、開源框架、組件進行檢測的工具，導致引入開源代碼和第三方庫的質量無法進行檢測，無法確定引入的代碼中是否存在惡意后門、病毒以及安全漏洞，可能直到爆發(fā)安全事件才能暴露出來。還有一個方面，就是引入開源代碼的許可證問題，目前開源軟件主流的許可證有80多種，國內研發(fā)人員不太注重許可證的問題，但是如果軟件產(chǎn)品出口，則可能存在著產(chǎn)權風險。

北京大學軟件工程國家工程研究中心一直致力于軟件工程的研究，立足于國際技術研究前沿，洞察軟件工程發(fā)展的趨勢，與北京北大軟件工程股份有限公司合作，歷經(jīng)五年研制了CoNET軟件成分和安全分析平臺，于本月7月15日即將正式發(fā)布。該工具采用主流架構，B/S形式部署，可以進行分布式部署，為企業(yè)研發(fā)提供代碼成分和安全檢測，能夠減少企業(yè)研發(fā)風險，保護IT投資。該產(chǎn)品上市，填補了空白在開源軟件檢測領域的空白。

CoNET對主流開源網(wǎng)站Github、Gitlab、Source Force等上約4000萬個開源項目超過75億開源文件進行分析、對于超過50萬多個二進制代碼進行了分析。CoNET安全漏洞數(shù)據(jù)庫積累了超過20萬個公開漏洞，同時也積累了未公開漏洞數(shù)據(jù)。支持80種以上許可證分析。目前CoNET數(shù)超過50T上代碼和漏洞數(shù)據(jù)，全部實現(xiàn)了漏洞和項目、文件和代碼的一一對應。

CoNET產(chǎn)品提供企業(yè)軟件代碼的成分清單，能夠使IT人員全面掌握組件、版本、許可證、漏洞以及對應的升級信息等。通過對引用組件的漏洞檢測、修復和跟蹤，能夠規(guī)避0day漏洞，監(jiān)控企業(yè)面臨的軟件新風險。通過成分分析，讓采購方或管理者全面掌握代碼的自研比例，能夠最小化成本和資源，為評估軟件資產(chǎn)提供依據(jù)。工具采用CVSS國際通用缺陷評估標準，提供企業(yè)對軟件質量的評估。

?

（完）

總結

以上是生活随笔為你收集整理的北大软件CoNET软件代码成分和安全分析平台即将正式发布（非官方）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。