FOSSID（开源代码检测工具）

FOSSID简介：

FOSSID总部位于瑞典首都斯德哥尔摩。由一群开源技术专家组成的研发团队，该团队拥有18年的开源研发、管理、测试经验。

在Github、Gitkraken等全球知名开源社区的开源代码检测工具排行榜均位列第一。而在中国的开源社区及开源治理白皮书中多次被提名。

作为开源治理的标杆，中国赛迪检测认证中心、中国赛宝实验室，中国电子技术标准化研究院塞西实验室，中国信息通信研究院，中国信息安全测评中心率先成为了该产品使用单位，其开具的检测报告就是由该产品进行检测做为依据的。

开源相关监管要求：

开源软件的价值及应用：

1.降低成本

2.提高效率

3.提升创新力

开源带来的风险有哪些？

合规性风险：

1.开源许可违规（法律诉讼、产品召回等）

2.自有代码相关知识产权泄露（被迫开源）

安全漏洞风险：

1.引入开源软件同时，被动引入安全漏洞。

无法满足海内/外监管部门要求：

1.软件外包合作，甲方的监管和免责要求。

2.国家相关机构，对自主知识产权和自主可控的监管要求。

开源许可证的分类及治理方法

开源许可证大致分为两类

1.开放型许可证（MIT、BSD、Apache等）

2.传染型许可证（MPL、LGPL、GPL、AGPL等）

用户代码中发现传染型许可证的治理方法

1.冗余删除

2.溯源替代

3.隔离开源

4.逻辑模仿

FOSSID能为您做什么？

开源软件合规性检测

1.支持所有语言。

2.能够精确到片段及片段式快速扫描。

3.支持盲审功能。

4.强大的开源知识库，目前超过3500万个开源项目，并且开源知识库定期更新。

安全漏洞扫描

1.扫描开源代码的同时，也同步扫描开源软件的安全漏洞。

2.支持超过16万种安全漏洞，与NVD同步。

FOSSID的应用场景

企业内部的代码检测需求：

1.项目开源之前，查找自有代码的开源风险。

2.针对闭源商业代码，也需要规避合规性风险。

政府部门监管政策对开源治理的要求：

1.国家项目对自主知识产权的要求。

2.国家对某些重要领域的风险防控要求。

国际合作中甲方提出的代码扫描需求：代码打包出口到海外，甲方要求出具检测报告免责。

司法鉴定过程中的代码检测需求：软件知识产权纠纷案件中，代码检测是重要的参考依据。

企业兼并过程中的代码审计需求：邀请第三方审计，对收购标的进行软件资产评估。

FOSSID的工作原理：

FOSSID部署方式：

分布式部署

1.将知识库（KB）部署在私有云

2.WebApp可以在多地部署，提升扫描效率

3.开源代码扫描分布式管理

4.对网络质量要求高

本地部署

1.将知识库（KB）和WebApp都在本地网部署

2.可以组成便携式系统（KB+WebApp）

3.硬件部署成本较低

4.安全性提高

FOSSID的优势

技术优势

1.算法优势-比传统扫描分析快一个数量级。

2.数据优势-拥有目前世界上最大的开源知识库及安全漏洞库。

3.部署优势-支持云部署和本地离线式部署。

4.后发优势-吸取传统优点，改进缺陷，稳定可靠。

客户反馈

1.在全球开源治理领域，客户群体的庞大是对产品最高的认可。

2.中国知名通信厂商和测评机构高度评价FOSSID。

技术支持

1.本地技术支持团队，10年以上开源检测经验。

有兴趣关注~

Sale：李先生

Mobile/Wechat：13552863111