近日，棱镜七彩同CNCERT再次合作并发布了开源软件供应链安全风险研究报告（2021）。在此之前，双方曾在2020年初首度合作发布了该报告2019版。作为双方再度强强联合的成果，本次报告从开源漏洞发展现状及趋势、开源组件生态安全风险分析、组件漏洞依赖层级传播范围分析、开源文件潜在漏洞风险传播分析等4个角度通过在前期进行的大量调研工作，最终得到了该调研报告。

希望可以帮助相关产业的企事业单位更好的保障软件供应链的安全，为国家的开源安全贡献一份自己的力量。以下为报告原文：

开源软件复杂的供应链关系、不断增加的安全漏洞，已成为急需解决的供应链安全问题。然而在当前软件开发中，却缺乏“早发现、早检测、早修复、早管理”的产品，使得开源软件、依赖组件漏洞被引入到软件中。并且开发团队也很少有足够的时间在产品上线之前解决所有问题，在风险管理、开发阶段、测试阶段不能及时发现漏洞，及时响应。因此，棱镜七彩基于“安全左移”和DevSecOps理念推出了FossEye系统帮助用户识别并规避相关开源风险。FossEye针对不同需求分别推出了企业版和个人版两种版本，且现有个人版免费试用活动，有需要的开发人员可关注我司公众号，并回复“个人版获取”获得参与试用的方法。