Tidelift 新近推出新的智能化产品，帮助企业降低开源使用风险

开源软件智能供应链公司 Tidelift （https://tidelift.com/）增加了新的智能系统功能，可帮助客户最大限度地降低与使用开源组件相关的风险。

目前这些功能已经添加到Tidelift 的产品 Subscription中，该计划提供对开源软件的安全、许可和维护风险等评估。 

该公司通过与数千个开源项目的合作，可以访问开源包情报数据。它向这些项目的维护人员支付费用，并要求其遵循安全开发最佳实践，例如 NIST 安全软件开发框架和 OpenSSF 记分卡项目中概述的相关实践。

Tidelift 还将来自上游包管理器和源存储库的数据聚合统一格式。然后，Tidelift 的数据团队会详实分析这些数据，并提供给用户相关的分析见解。

Tidelift 订阅还包括软件物料清单功能，使公司组织能够构建所有正在使用的组件清单。 

此外，它还包括帮助组织满足美国政府将要提出的供应链安全合规要求之功能，其中包括标准化的证明报告和动态跟踪证明的能力等。

IDC 的 DevOps 和 DevSecOps 研究副总裁 Jim Mercer 对此表示大力赞赏：

“像 Tidelift 开源数据智能功能这样的解决方案，对于寻求开源项目中使用的安全软件开发实践，超越人工验证数据的组织来说是理想选择。这些类型的见解，可以为组织提供有关其软件供应链中开源项目所使用的安全软件开发实践详情，并且经过验证的第一方信息，这可以帮助公司加强安全态势，并帮助他们遵守即将推出的政府合规性要求。”

关于 Tidelift

Tidelift 首席执行官兼联合创始人Donald Fischer 这样介绍公司与产品：

“随着软件供应链安全成为头等事件，应用程序开发团队采用全面的方法来管理构成其应用程序的开源组件比以往任何时候都更加重要。通过在 Tidelift 订阅中添加目录，组织可以确信他们正在安全地使用开源，而不会因此减慢开发速度。”

通过目录（目前作为 Tidelift 订阅的一部分），组织现在可以拥有一种全面的方法来策划、跟踪和管理他们用于开发的开源组件，同时可以设置和执行使用策略。

铺平道路：组织可以通过定义和管理已知良好、主动维护的开源组件目录来加速开发并降低安全和许可相关风险。开发者可以安全地使用它们，不必担心最新的部署障碍。

明确策略：组织可以在开发生命周期的早期设置并自动执行标准，例如组织的开源许可证策略。

集成体验：Tidelift 订阅与现有源代码和存储库管理工具集成，开发者无需更改其工作流程。他们可以直接从命令行提取已批准的组件并提交新组件。

开发人员可以从 Tidelift 管理的已知的良好、主动维护的组件目录中提取资源或内容，涵盖 JavaScript、Python、Java、Ruby、PHP、.NET 和 Rust 等通用语言框架，并由 Tidelift 及其合作维护人员提供支持。这些目录旨在为企业开发做好准备，由 Tidelift 及其合作维护人员管理它们，以满足明确定义的安全、维护与使用许可证标准。

有了“目录”，Tidelift 订阅现在可以为整个组织的利益相关者带来的好处如下：

对于管理者：提高开发速度，同时确保开发团队从一开始就使用安全、经过批准且合规的组件进行构建。

对于开发人员：快速行动并避免返工，通过使用预先批准的已知良好的组件来消除导致开发速度减慢的最新意外情况。

对于信息安全：获得一个地方来定义、审查和实施围绕开源组件中的安全漏洞的策略。

对于法律：获得一个地方来定义、审查和执行许可政策，并获得赔偿以防范与许可相关的风险。

“最近的软件供应链安全问题提醒业界，了解软件组件的来源并能够信任这些组件是多么重要。开源软件不能免受潜在漏洞的影响，因此向您提供软件组件是非常有意义的。软件开发人员可以轻松获取他们所需的符合企业标准的组件。” IDC 软件开发和开源部门副总裁Al Gillen说道。“Tidelift 对 Tidelift 订阅的扩展包括已知良好的开源目录，通过在一个位置收集组织所依赖的全套关键开源组件来满足这一需求。”

作者：场长