​近日，“2023年网络安全优秀创新成果大赛暨四川省‘熊猫杯’网络安全优秀作品大赛”顺利举办，本次比赛由四川省委网信办指导，中国网络安全产业联盟主办，四川省网络空间安全协会等单位承办。开源网安联合度小满共同打造的“度小满互联网金融开源软件治理解决方案”荣获本次大赛优胜奖。

度小满互联网金融开源软件治理解决方案

开源网安与度小满共同打造的“度小满互联网金融开源软件治理解决方案”以业内领先的软件成分分析技术（SCA）构建开源软件治理分析平台，为度小满在内的金融客户建立完善的开源软件安全知识库系统，包括漏洞库、第三方开源组件库、版本库、修复方案库、License许可证库和关联关系。

本方案深度解决了度小满科技在开源软件使用中遇到一些列安全风险问题，包括如下实际需求：

❖ 定时扫描行内代码仓库平台，构建企业项目级台账信息。

❖ 实现开源软件漏洞的风险预警和溯源影响分析。

❖ 识别开源软件漏洞和风险，并进行严格管理。

❖ 检测分析开源软件中的许可证，并对高风险软件给予安全措施。

❖ 协助评估即将启用的新开源软件的安全风险。

方案效果

1. 构建一体化组件资产台账

开源软件治理平台自动梳理企业内开源资产，建立安全、研发、配置部门间的自动化管理流程，降低运维人力成本。

2. 降低第三方/开源组件引入的开源风险

帮助客户降低开源组件风险，建立可信开源库，识别自研与开源组件，加强使用规范和实际应用效果，提高开源组件使用的安全性和合规性。

3. 帮助项目管理和风险控制

软件成分分析有助于项目管理团队更好地了解软件组成和知识产权信息，增强项目可控性。同时，能及时掌握外部组件的漏洞和安全问题，提前采取风险规避措施。

4. 提升安全部门工作效率

通过与开源软件治理分析平台构建在线漏洞更新能力，实时掌握开源组件风险舆情，及时了解企业的风险影响，提高行内风险应急效率。

本方案帮助客户在开源技术应用上得到了安全保障，快速提升了业务研发效率，完善了对开源技术管控能力和开源生态体系建设，实现从“开源可用”到“开源可控”的升级，带动金融行业开源软件安全治理水平大幅提升。

此次获奖，充分证明了开源网安在开源软件治理与开源软件供应链安全方向的专业实力。未来，开源网安也将持续探索开源软件安全问题，推动开源技术顺应行业发展，赋能行业更安全地进行数字化创新。