近日，OpenChain官方宣布，悬镜安全正式成为OpenChain项目会员。悬镜安全今后将与谷歌、微软、Meta等其他全球性企业一同，全方位支持开源许可证合规领域的“OpenChain ISO/IEC 5230”国际标准，共建繁荣健康的开源生态和安全可信的软件供应链。

OpenChain是由Linux基金会发起的一个旨在制定开源软件供应链标准，帮助各种组织更高效解决开源许可证一致性问题的项目。目前，全球各领域数百家巨头纷纷加入OpenChain，推动建立安全可信的软件供应链上下游生态。

OpenChain总经理Shane Coughlan表示：“多年来，OpenChain始终致力于开源安全生态建设，追求可信的软件供应链；我们与悬镜的伙伴关系将加快这项使命在中国市场的达成。未来，我们期待能够协助不同体量的企业寻找使用开源的最优解。”

“作为国内软件供应链安全的技术引领者，我们很高兴加入OpenChain合作伙伴计划，与OpenChain社区及全球其他成员共建更可信、更高效的开源供应链和生态环境。”悬镜安全创始人兼CEO子芽表示，“OpenChain致力于帮助企业和组织解决开源许可证一致性问题，与悬镜一同前瞻性洞察到企业在数字化转型过程中面临的开源软件供应链安全风险与挑战。为此，悬镜首创‘用开源的方式做开源风险治理’，将旗下源鉴OSS这一企业级SCA产品开源，为广大企业和开发者提供专业的OpenSCA技术支持与社区生态服务。未来，我们将与OpenChain持续紧密合作，并联合更多的开源生态伙伴，围绕中国软件供应链安全建立一个更为开放、更具创新、更有活力的开源社区，赋能更多行业用户。”

开源驱动的软件开发模式已成为主流，为帮助企业安全高效地拥抱开源，悬镜安全结合多年的敏捷安全落地实践经验和软件供应链安全研究成果，探索出一套以代码疫苗技术和积极防御体系为核心的软件供应链全流程安全管理框架，涵盖从研发、供应、运营等关键环节的研发运营一体化敏捷安全产品和配套服务，将自动化的安全能力和配套的标准规范注入到整个软件供应链全流程中，通过开源风险治理、研发过程管控、常态化安全运营三个关键阶段，帮助上千家企业构建起安全、可信、合规的软件供应链安全治理与运营体系。

图1 软件供应链全流程风险治理框架

OpenSCA积极实践“用开源的方式做开源风险治理”这一新理念，其凭借领先的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，成为Gitee最有价值开源项目。

在开源及软件供应链领域中，悬镜持续关注并积极与多个行业头部组织进行深度合作，如近期成为中国信息通信研究院所发起的“可信开源合规计划”与软件供应链安全实验室首批成员单位。未来通过安全共建的方式，悬镜将持续为开源生态做出积极贡献，坚持守护中国软件供应链安全的使命。

以下内容转载自OpenChain官网：