开源代码安全的新生力量——棱镜七彩

棱镜七彩是国内首支专注于软件代码开源安全的研发团队。

当前，开源项目的运用大大提高了软件研发的效率，也促进了国内IT行业的繁荣发展，但是如果开源项目“滥用”，它背后的种种管控问题却不容忽视。

从信息安全的角度看，

1、很多开源代码被曝出存在安全漏洞，开发者往往只关注使用，而没有关注到它背后的开源漏洞风险。很多漏洞和缺陷并没有及时修复。

2、开源项目被广泛应用，但从国家层面来看没有任何一个组织机构对开源项目的安全负责，在商业安全公司业务中，开源安全也是盲点。当开源代码渗透到国家的金融、能源、电信等命脉行业中后，开源项目的更新迭代、风险防范、运维管控等各方面都是棘手问题。

3、开源项目会带来未知代码功能和风险。开发者在引入开源项目(组件)时，往往并没有对该项目做到全面了解，简单粗暴的引入会造成大量的冗余代码、垃圾代码以及未料的功能后门埋藏在软件工程中。

从研发管理的角度看，

现在很多软件研发科技工作都是基于开源项目进行改造、衍生、集成组装，往往存在把外部拿来的工作成果与自己的成果混为一谈的情况。这样给研发管理带来较大的困扰，因为IT项目中的自有成果、科技含量，投入的工作量较难评价。 所谓“自主可控”的项目中，哪些是外来的，哪些是自主的。外来的成果如何做到核心技术与安全风险可控是值得思考的。

从知识产权的角度

开源软件不等于免费软件。开源项目都是有开源许可证license的，它规定了开发者能如何合法利用这个开源项目，比如只能作为研究学习用途，不能用作商业化盈利项目等等。这些知识产权问题在我国一直未引起重视，但是随着国内IT企业和项目走出国门，国际上的规矩还是要引起关注。

棱镜七彩团队定位就是想专注于软件工程分析评测，尤其是开源安全领域。团队取名棱镜七彩这个名字的寓意便是：棱镜能将自然光分解出七彩的颜色，希望团队能够把一个深奥的软件工程分析检测出更多有价值的信息，提供给管理部门去决策管控。

当前，团队发展势头良好，已与多家单位机构达成合作，也正在寻求下一轮融资以扩大团队，为国家开源安全事业贡献一份力量。

免责声明：本文转自网络，仅为传播信息之目的，如有异议请联系ifengcom77@163.com。