在数字化转型的过程中，开源已覆盖软件开发的全域场景。据《2023中国软件供应链安全分析报告》，国内2631个企业软件项目中，100%使用了开源软件，平均每个项目高达155个。

　　面对如此庞大的开源生态，企业常常会遇到“理不清、看不见、找不到”的痛点：首先，企业不清楚在系统中使用了多少第三方软件和组件，第三方组件通常又会依赖其它更多组件，多级依赖使整个组件结构非常复杂，难以理清；其次，企业使用第三方组件时，即使是已产生过安全漏洞和知识产权风险的“老组件”，也无法及时“看见”风险漏洞并处理；第三，企业在第三方组件出现漏洞时，无法快速定位受影响的组件，评估影响范围。

　　基于此，京东云打造了基于SBOM的软件供应链管理工具“星光SSCM软件”，以全面、准确和实时的软件成分分析能力，为软件供应链做“全身体检”，确保软件供应链安全。

　　它源自京东开源组件管理、安全合规及知识产权保护的实践探索，提供全面、准确和实时的软件物料清单采集与分析能力，打造企业级标准化软件成分信息库。同时，通过集成组件漏洞库和许可证库，赋能组织高效地管理和使用开源软件，确保安全与合规，充分释放开源软件的潜力。

基于京东云星光SSCM平台的开源治理落地方案

　　目前，京东集团已经实现了SBOM-TOOL与京东行云的集成，实施了对部署应用的持续性扫描。该工具不仅生成了详尽的SBOM(软件物料清单)，还精确分析了应用及其组件之间的依赖关系。通过深度分析，发现数百个开源组件存在高风险的传染性许可协议和安全漏洞。基于安全合规的要求，依据针对性的修复建议，受影响业务应完成漏洞修复。

　　凭借卓越的性能和行业贡献，京东云星光SSCM中使用的开源软件治理工具SBOM-TOOL荣获Gitee最有价值开源项目(GVP)。

　　Gitee作为国内知名的代码托管和协作开发平台，素有“国产GitHub”之称，吸引超过800万开发者，托管项目超过2000万，汇聚几乎所有本土原创开源项目，而目前被评为GVP的项目仅有392个(截至发稿前)。

　　面向未来，京东云愿与业内权威机构、企业携手共建安全、合规、健康、可持续的开源生态。