没错，您没看错，我们是闭源工具，但在开源大赛获奖了。这绝对不是黑幕，听我细细道来。

本次开源创新大赛，历经报名审核、初赛遴选、决赛评审、总结发布四个严格筛选阶段。大赛组委会严格而包容，严格按照赛事创新要求评审各个项目，对有创新、功能强、发展空间大的闭源项目大力支持。我们接到大赛组委会的邀请后便开始紧锣密鼓的准备参赛资料，大赛划分多个赛道，CodePecker SAST 补阙作为合规工具组参加了此次比赛，对于开源产品和工具来说，CodePecker SAST 补阙是开源合规治理者的角色。

开源已经为了引领科技创新发展的重要驱动力，也是我国科技发展的重要战略。开源的本质特征是资源与技术的开放共享，以及开发过程的群力协同，我国互联网平台发展迅速，用户群体规模庞大，在我国发展开源具有独特的优势。

然而，开源大规模的使用导致安全问题逐渐增加，就本次开源大赛参赛产品检测结果来说，整体安全能力偏弱，自研比例较低，自研比例高的：云原生 ；自研比例低的：操作系统。参赛产品中平均每个产品有194个安全漏洞、高危漏洞30个、未标明许可证的组件166个、引用其他许可证协议33个、高风险许可协议 3个、许可证冲突58个。

这组数据中我们不难看出，自研率偏低是普遍情况，但带来的最大问题是引用第三方组件的许可问题。关于许可证的类别和权限，很多使用者或企业的理解也未见详尽。像许可证和专利叠加、著作权保留条款、商标和开源标识使用、许可证冲突、混合许可证问题等都在困扰着大多数数字化从业者。

除此之外，对于开源的法律法规问题更需要重视，例如：进出口管制、许可合规、知识产权侵权、数据隐私风险、开源标准等。只有彻底了解规则才能在规则范围下生存和发展，但对于企业和创作者来说，细致的了解这些规则，在波谲云诡的市场中犹如套上了时间的枷锁。

但回看日韩的科技建设发展历程，我们切实不再想走“在诉讼中成长”的道路，更多组织机构正在筹备或已经选择了把安全注入生产，他们利用工具实现安全和避免纠纷。CodePecker 软件供应链安全开发系列工具，可辅助研发团队有效识别各种代码组件的许可信息、源代码缺陷、源代码漏洞等问题。

CodePecker 软件供应链安全开发系列工具，基于GPT技术框架，通过大量数据输入包括开源许可信息、漏洞库、开源规则等信息不断训练，熟悉和强化系统对迭代许可和漏洞的敏锐度，并可实现代码自动审计，生成可视化分析图表，一键触发清晰观测代码缺陷。不仅如此，在问题代码片段中，系统会自动筛分危险等级，并提供修改建议辅助修改，真正实现了代码审计智能化，为企业创新发展带来安全支撑。

现阶段，我国科技金融不断发展壮大，开源是创新的核心动力，拥抱开源就是拥抱未来。酷德啄木鸟将研发重心始终灌注到源代码安全领域，为我国各行业企业科技创新夯实安全基座。