開源無處不在。同時，軟件供應鏈中開源治理的復雜性較高。全球企業(yè)都在積極探索軟件供應鏈治理的新方式，尋求專業(yè)安全治理工具，以推動軟件供應鏈生態(tài)的良性發(fā)展。

新思科技(Synopsys, Nasdaq: SNPS)近日宣布其軟件質量與安全部門與ReversingLabs 公司簽署合作協(xié)議，為軟件開發(fā)和安全團隊提供全面的軟件供應鏈風險管理解決方案。新思科技備受市場認可的 Black Duck® 軟件組成分析的開源掃描功能和 ReversingLabs 的軟件供應鏈安全 (SSCS) 平臺強強聯(lián)合，滿足完整軟件物料清單 (SBOM)的要求和應對軟件供應鏈威脅，并將其融入軟件開發(fā)及持續(xù)集成和持續(xù)交付 (CI/CD) 流程。

Black Duck軟件組成分析管理因在應用和容器中使用開源代碼而產生的安全、質量和許可合規(guī)風險。 ReversingLabs SSCS 平臺通過掃描商業(yè)第三方組件的漏洞、惡意軟件和軟件篡改實例來補充Black Duck的功能。這些功能提供了更加完善的安全風險洞察力，可以快速識別軟件中的惡意軟件、軟件篡改和異常情況，從而在產品發(fā)布前防止供應鏈攻擊。新思科技現已獲得授權可轉售配置有 Black Duck的ReversingLabs SSCS平臺，以在整個軟件供應鏈中自動創(chuàng)建全面、可操作的 SBOM。

新思科技軟件質量與安全部門總經理 Jason Schmitt 表示：“軟件和安全領域的頭部企業(yè)希望新思科技能夠率領業(yè)界憑借完整的安全解決方案，以應對日益嚴峻的軟件供應鏈威脅。ReversingLabs 通過引入先進的安全技術，用于識別和消除商業(yè)和第三方軟件組件的安全風險，與新思科技在開源風險和應用安全方面的專業(yè)知識進行互補。我們可以共同制定精確、完整的 SBOM，其中包括供應鏈中所有的軟件來源。”

Gartner數據顯示，到 2025 年，全球45%的企業(yè)將遭遇軟件供應鏈的攻擊。因此，企業(yè)將對軟件供應商及其內部軟件開發(fā)工作施加更大壓力，以確保最佳安全實踐。

ReversingLabs首席執(zhí)行官Mario Vuksan表示：“最近針對開源和商業(yè)第三方軟件的軟件供應鏈攻擊頻發(fā)，我們需要全新解決方案，增強軟件韌性。這意味著企業(yè)必須著力更全面地洞察軟件供應鏈，更深入地掌握復雜的軟件包組成，包括開源和商業(yè)第三方組件，以及更清晰地了解軟件行為。攜手新思科技，我們的共同努力不僅將確保滿足監(jiān)管需求，而且真正地使開發(fā)人員和安全經理能夠避免軟件威脅，并確定軟件風險和質量問題的優(yōu)先級以采取相應行動?！?