“基于‘多模态SCA+全周期协同’的中间件开源风险治理实践”荣获OSCAR开源+安全及风险治理案例
近日,中国通信标准化协会主办的“2025 OSCAR 开源产业大会”在北京·中关村国家自主创新示范区展示中心-会议中心举行。中国信通院正式发布2025年度 OSCAR“开源+”典型案例征集结果,悬镜安全与联通研究院合作的“基于‘多模态SCA+全周期协同’的中间件开源风险治理实践”也荣获同一类别奖项。该项目创新性地将多模态SCA技术与全周期协同治理相结合,有效解决了中间件领域的开源风险治理难题,为通信行业的基础软件安全提供了新的解决方案。
一、案例简介
当前信创战略深化背景下,中间件国产化替代是联通研究院保障关键系统自主可控的核心任务之一,涉及Web服务器、消息中间件、数据中间件等核心中间件适配,但替代过程中面临四大开源治理痛点:
一是组件识别盲区,国产化中间件含“源码改造(如基于 Apache Tomcat自研优化)+二进制交付(如商业版东方通 TongWeb)”双形态,人工梳理多语言组件漏检率超35%,曾因未识别某C++消息中间件二进制包的OpenSSL漏洞导致测试返工;
二是开源混入风险,自研改造中间件时,开发人员易无意识引入开源代码片段,因未厘清自研与开源边界,易引发版权纠纷;
三是漏洞预警滞后,传统人工监控NVD、CNVD漏洞库,对国产化中间件专属漏洞响应超48小时,高危漏洞难以及时处置,存在系统被攻击风险;
四是合规风险不可控,部分开源中间件(如ActiveMQ)携带的GPL强互惠协议与国产化项目知识产权要求冲突,易引发法律风险。
为破解上述难题,联通研究院引入源鉴SCA平台,构建“多模态SCA检测+全周期协同”治理体系:源码检测解析中间件依赖,同源检测基于400亿+代码行级指纹库识别自研与开源相似度,二进制检测补全二进制漏洞盲区,漏洞情报预警实时推送风险。截至目前,方案覆盖全类型国产化中间件,实现开源组件 100%管控,风险识别率从62%提升至98%,高危漏洞响应时间压缩至4小时内,规避3起合规风险,保障中间件国产化项目按期交付,为通信行业信创场景开源治理提供实践参考。
二、创新说明
技术创新:适配中间件国产化场景的多模态检测突破
1. 源码+同源双检联动,解决自研改造中间件开源混入难题
突破传统SCA“单一依赖解析”局限,将源鉴SCA源码检测(解析多语言依赖)与同源检测(基于400亿+代码行级指纹库)联动,应用于自研改造中间件场景:源码检测梳理依赖,同源检测从文件/函数/代码片段级识别隐性开源混入(最小3 行精度),较传统人工审查,开源混入风险检出率提升至100%,组件识别遗漏率降低40%,解决“自研与开源边界模糊”痛点。
2.二进制SCA技术,补全国产化中间件漏洞盲区
基于源鉴SCA的二进制SCA技术(逆向提取特征匹配漏洞),结合漏洞情报库,补全漏洞盲区,二进制检测覆盖无源码的商业中间件(如东方通TongWeb),较通用SCA方案,二进制漏洞检出率提升至98%,情报精准度提升70%,重大漏洞响应效率提升80%。
3.全模态检测-SBOM关联,实现风险全周期追溯
将源码+同源+二进制+漏洞情报四大检测能力与全周期 SBOM关联:选型阶段SBOM记录基线依赖,适配阶段 SBOM更新改造后开源混入情况,测试阶段SBOM关联漏洞情报,部署阶段SBOM追溯风险影响范围,解决传统治理“资产与风险脱节”问题,风险追溯效率提升60%。
模式创新:中间件国产化全周期协同治理机制革新
1. 全周期嵌入的治理模式
将四大SCA能力深度嵌入中间件国产化全流程:选型阶段用“源码+同源”定基线,适配阶段用二进制检测阻断隐藏漏洞,测试阶段用“漏洞情报”提效率,部署阶段用“全模态复测”保稳定,形成“无感知嵌入、自动化流转”闭环,较传统“事后抽检”,治理覆盖度从50%提升至100%。
2. 跨角色协同的管控模式
建立“研发(适配改造)+安全(漏洞检测)+合规(许可证/同源审查)+运维(部署监控)”跨角色机制:研发通过IDE插件完成源码初检,安全团队用二进制检测验证适配效果,合规团队依托同源报告与许可证分析规避版权风险,运维团队通过漏洞情报实现部署后监控,四方共享SBOM与风险报告,协作效率提升50%,保障“安全与效率并行”。
三、应用实效
1. 应用覆盖:全场景落地,支撑信创核心任务
该方案已深度覆盖联通研究院中间件国产化全场景,适配 全类别国产化中间件,服务研发人员100余人、安全/合规/运维团队25余人,支撑国产化中间件改造替代项目顺利落地,实现日均中间件源码检测30+次、同源检测20+次、二进制包扫描 15+次,成为中间件国产化项目的“标配治理工具”。
2. 痛点解决:全流程管控,攻克行业核心难题
组件识别不全问题根治:依托源鉴SCA“源码级SCA技术”与“同源检测技术”,组件识别遗漏率从人工梳理的35%降至2%以下,中间件国产化替代项目实现开源组件100%纳入管控,彻底解决“不清楚用了哪些组件”的痛点——此前人工清点单个项目组件需2-3天,现通过SCA自动生成SBOM清单,1小时内即可完成。
漏洞预警滞后大幅改善:基于源鉴SCA“情报推送”能力,高危漏洞响应时间从传统人工监控的48小时压缩至4小时内,2024年累计阻断含高危漏洞的中间件版本引入12次,避免因漏洞导致的测试返工。
许可证合规风险零发生:通过源鉴SCA平台扫描3000 +类许可证,对GPL等强互惠性协议组件预警,规避3起许可证冲突风险。在项目研发中,提前识别组件许可协议风险,避免知识产权纠纷。
3. 量化成效:全指标达标,效率成本双优化
关键指标方面,国产化中间件源码检测覆盖率100%、二进制检测准确率≥98%,高危漏洞处置率100%,开源风险识别率从68%提升至98%;流程效率方面,中间件国产化项目周期平台缩短30天,跨团队协作周期缩短50%。