在当下复杂的攻击趋势下,代码自身的安全性愈发重要,相比于传统的安全攻击,攻击者通过感染合法应用后,分发恶意软件来访问源代码以及构建过程或更新机制,以此来达到攻击者的非法目的。这种攻击方式的关键就在于源代码和开源组件,因此对源代码和开源组件的保护就成为防护此类攻击的关键手段。
代码安全主要是对源代码和开源组件进行检测防护,而源代码和开源组件安全防护的痛点就在于:
1.缺乏完善且高质量的漏洞数据库;
2.资产透视深度不足;
3.难以追溯漏洞成因,在无安全专家的情况下,难以发现问题本质;
4.存在误报并且告警较多。
为了解决这些痛点,安天代码安全检测系统具备以下能力:
1.强大的开源组件识别能力;
2.全面的开源组件漏洞数据库;
3.会做“阅读理解”的检测引擎,会联系上下文进行分析,有效降低漏扫率;
安天代码安全检测系统(简称“安天SCS”),是面向软件开发场景的安全检测系统,旨在取代繁重的人工步骤,在应用上线前尽可能早地消灭高危漏洞、代码风险等在内的安全问题,从源头上避免安全事故的发生;该系统具有高检出、易部署、强扩展等特性;具有检测结果准确率高、并且可一键接入开发流程,贴合业务不易漏扫开源组件;同时适用于大多数模式下开发场景等优势,是开源人员身边的安全好帮手。
▲信息总览页
▲源码漏洞页
▲任务管理页
代码安全检测系统中有两大重要模块SCA和SAST。
其中SAST优势亮点在于:
1.会做“阅读理解”的检测引擎,会联系上下文进行分析,有效降低漏扫率。
2.可视化的污点传播途径,可检出因用户数据流引起的深层次的风险漏洞。其中污点传播分析追踪能力是我们SAST的重点检测手段,它是一种跟踪并分析污点信息在程序中流动的技术,是提高静态分析能力的一个重要的技术手段,能够检测出更深层次的代码风险,同时会详细的记录风险的传播来源和路径,帮助开发人员快速定位问题。
而SCA的优势亮点在于:
1. 支持20余种常用语言,具备高质量的知识库,提供修复措施和部分应急响应方案。
2. 支持输出软件物流清单,组件信息一目了然,有效杜绝供应链污染。
3. 具备二进制扫描能力,在无源码的情况下,同样也能获取组件信息。并且具备合理的系统组成架构,SCA的系统结构清晰,既可以通过WEB服务直接使用,也可以通过API服务接入到自己现有的系统中,同时还提供IDE和命令行,以及CI/CD多种接入方式,方便用户快速接入到开发流程中。
代码安全检测系统新品的应用价值主要体现在可一站式解决前期开发流程中的安全问题,解决软件开发中的代码安全威胁问题;主要面向客户的开发安全场景,在对软件开发安全具有一定的需求,但企业又没有安全专家的情况下,为企业提供全面、高效、准确的代码安全检测,保障企业的软件开发流程安全。
某制造业集团公司是进行数字化转型的典范,积极开展高新技术研究和产业化探索。在加快业务转型升级的同时,如何确保数字化业务系统的安全性是该企业实现发展转型的当务之急。该企业自身的开发项目很多,但是开发质量参差不齐,许多业务上线后发现存在各类安全漏洞,开发人员需要耗费大量时间和精力进行修复。
安天为该企业建立开发安全管理体系,细化编码的开发安全工作流程与职责,规范执行开发安全设计、安全编码与检测、提升应用安全防护能力,保障业务安全性和可靠性。同时将安全漏洞发现前置到编码和测试阶段,不仅提升了系统安全性,还极大地降低安全修复成本。
还没有评论,来说两句吧...