近日,中国通信标准化协会主办的"2025 OSCAR 开源产业大会"在北京·中关村国家自主创新示范区展示中心-会议中心举行。中国信通院正式发布2025年度 OSCAR"开源+"典型案例征集结果,悬镜安全与东方航空合作的"东 **航数科开源软件治理体系的建设实践"**荣获OSCAR开源+安全及风险治理案例。该项目构建了一套完整的开源软件治理体系,帮助东航实现了开源组件的规范化管理和安全风险可控,为民航业的数字化转型提供了安全保障。
本次案例征集工作由中国信息通信研究院联合中国互联网协会共同发起,聚焦开源生态建设与创新应用的核心环节,共设置了开源商业化、开源人物、开源人工智能、开源技术应用创新、开源项目及社区、开源安全及风险治理六大专项,旨在深化开源技术在各行业的融合应用,推动形成"众研、众用、众创"的开源生态格局。
征集工作自启动以来,受到社会各界广泛关注。经过严格筛选与评审,一批具有行业示范意义的开源实践案例脱颖而出,集中展现了我国在开源技术应用、生态建设与商业化创新等方面的最新成果。
1. 案例概述
东航数科持续构建行业最佳实践并进行数字化产品和服务能力输出,积极参与数字产业生态构建,企业在数字化转型过程中广泛应用开源技术于企业内外的业务系统。航空行业对信息安全、系统稳定性及合规性的要求极为严格,尤其是在涉及用户个人信息、飞行控制系统和航空运营管理时。随着开源软件在技术创新中的应用逐步深化,东航数科意识到开源软件可能带来的安全漏洞和合规性风险等问题,这对航空行业的高标准要求构成挑战。在此背景下,东航数科特别重视开源软件风险治理,通过建立严格的治理框架,采用自动化工具对开源软件进行安全审查,确保符合行业安全标准。
在航空行业,开源软件的使用面临不少风险。首先,开源组件安全性问题,若存在未修复的漏洞,可能导致数据泄露等重大安全事件。其次,合规性问题,开源软件复杂的许可证和使用条款可能与这些规定冲突,带来合规风险。此外,航空行业对系统稳定性和兼容性要求极高,部分开源软件更新频繁或社区支持不足,可能影响系统的稳定运行。这些痛点要求东航数科在开源软件应用过程中建立完善的风险治理机制,引入最新的自动化工具以确保企业引用开源软件的安全与合规。
2. 技术方案
SCA通过对第三方开源组件分析技术,对开源库、商业组件进行成分溯源,识别许可证合规风险与已知漏洞;引入安全漏洞威胁情报系统,实时同步NVD、CNVD等权威漏洞库数据,实现对开源组件的漏洞精准识别。通过关联分析代码缺陷、组件漏洞、威胁情报等多维度数据,构建软件安全风险知识图谱,实现从组件单一漏洞检测到供应链风险感知的全局化预警。帮助企业从引入源头、开发过程、运行监控和管理多维度闭环治理开源威胁,持续守护东航数科开源软件的使用安全。
3. 关键指标参数
动态模拟构建结合静态特征检测
相比于传统的静态SCA检测,在基础检测能力上采用动态模拟构建的方式,通过模拟组件的编译构建过程,并结合静态解析方式来检测组件依赖及漏洞,二者结合大大提升组件依赖分析的准确率及组件漏洞匹配的精准度。此外,相较于运行时SCA,该解析方式也无需通过插桩模式去检测,在使用场景上更为简单。
图 动态模拟构建结合静态特征检测
智能识别容器镜像风险
内置智能容器镜像检测引擎,支持对接 Docker Registry、Harbor、GitHub、JFrog Artifactory、Sonatype Nexus、华为云、阿里云等镜像仓库,可识别容器镜像的基础环境、软件组件和依赖关系,发现相关镜像的开源组件漏洞、敏感信息等;更提供对容器镜像内恶意文件的识别能力,在容器部署之前及时发现潜在的恶意文件,提升容器镜像的安全性,降低系统受到恶意攻击的风险,保障容器镜像安全。
图 容器镜像检测
漏洞修复优先级技术
面对检测出的大量已知漏洞,SCA基于漏洞修复优先级技术,根据漏洞修复建议、漏洞严重性、CVSS评分或组件新版本发布时触发的安全策略以启动漏洞修复工作流程,通过自动识别最高风险的安全漏洞,优先考虑严重的漏洞进行修复。SCA提供完善的组件漏洞修复指导方案,企业可根据实际需求选择最优的修复方案,实现开源漏洞的闭环治理。
图 组件漏洞修复
总结
工具和东航数科开发流程无缝结合,在流水线的相应阶段自动发现应用程序中的开源组件,提供关键的版本控制和使用信息,并在DevOps的任何阶段检测到开源漏洞风险和策略风险时触发警报。所有这些信息都通过安全和开发团队所使用的平台工具实时发送,从而实现了及时的反馈循环和快速行动。
结合开源供应链安全情报,实时个性化推送0day漏洞、高危热门漏洞、供应链组件投毒、组件停服断供等高价值情报。当供应链风险更新时,SCA自动分析已检测的历史SBOM资产是否受影响,通过多通道实时推送受影响项目的风险预警,完成闭环式风险治理。