OSCS开源软件供应链安全社区上线，携手开源社区共同提升开源安全质量

现如今，开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。

调研报告显示，84% 代码库至少存在一个开源组件安全漏洞，其中平均每个代码库存在 158 个开源组件漏洞，65% 的代码库存在许可冲突，发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞，这对于应用开源软件的企业和个人来讲，都是巨大的安全隐患。

事实上，大家也都在努力保护他们的开源软件供应链安全，但是，又面临一个问题，他们甚至都不知道他们的软件使用了哪些开源组件，其中又包含了哪些代码信息；

OSCS社区主要发起人章华鹏认为：对于所有的开发者来说，治理开源软件供应链安全有4个关键点

1、所有开源软件应该明确SBOM清单(软件物料清单)，并能够公开公示；

2、开源软件SBOM清单一旦发生变更要实时进行安全漏洞和合规检测；

3、社区一旦曝出新的安全威胁，也需要及时的去检测开源项目是否受到影响

4、一旦发现存在新的安全漏洞和合规风险，应该及时修复并发布安全版本及安全通告；

在这样的背景下，一些来自社区的开源开发者们发起了OSCS开源社区计划，该计划 致力于帮助每一个开源项目变的更安全，也让每一个开发者能够更安全的使用开源项目，促进开源生态的健康发展

。

OSCS能做什么？

1、在社区展示收录的组件，引用了哪些依赖，并提供详细的SBOM清单进行参考。

2、使用墨菲安全的技术能力，对收录的组件

/

项目进行漏洞扫描，并提供详细的漏洞报告；

3、用户可以订阅使用的开源组件/项目动态，一旦发现存在安全风险，将会通知下游使用项目/组件的用户，及时进行代码修复；

4、加入开源守护者计划：OSCS与墨菲安全达成战略合作，为每一个加入开源守护者计划的开发者，免费提供墨菲安全的漏洞检测修复能力，让每一个开发者能快速检测修复项目存在的漏洞，修复完成之后还会得到OSCS的认证徽章；

写在最后，希望每个开发者都能拥抱开源，让开源生态变的更安全。