奇安信中标某金融集团开发安全体系建设项目

近日，奇安信中标某知名金融集团开发安全体系建设项目，主要涉及产品包括代码卫士和开源卫士，助力客户建设常态化、实战化、体系化的应用代码安全能力。

“当前软件信息化产业规模庞大，有着特殊的上下游供应链生态，安全形势非常严峻。其中金融行业软件供应链安全具有复杂程度高、业务连续性要求高、数据价值高、行业监管严格等特点。”奇安信相关业务负责人表示，伴随着该金融集团数字化脚步的不断加快，各类形态的软件应用为实现数字化提供基础支撑，成为集团数字化基础设施正常运转的基本要素。在此背景下，频发的软件漏洞等供应链安全隐患，已经成为威胁企业网络信息安全的“顽疾”。

根据2022年奇安代码安全实验室对2631个国内企业软件项目分析发现，存在已知开源软件漏洞的项目有2411个，占比达91.6%；存在已知高危开源软件漏洞的项目有2268个，占比为86.2%；存在已知超危开源软件漏洞的项目有2032个，占比为 77.2%；存在容易利用的漏洞的项目有2089个，占比为79.4%，这四个比例均比去年有所提高，平均每个项目存在110个已知开源软件漏洞。

通常情况下，软件供应链安全问题主要表现在两个方面。

其一，供应商自身缺乏安全能力，网络安全运营和应急响应能力不足，对使用的开源和第三方软件、组件缺乏资产清单和漏洞处置；
其二，在开发环节可能因供应商引入安全缺陷或后门、使用不安全开源软件、编译构建环境被污染等带来安全隐患。

为此，企业需构建软件供应链安全检测体系，提升软件供应链透明度。另外，企业在开发过程中应及时洞察应用系统组件情况，提高漏洞响应处置效率，降低应用危险系数。

针对上述情况，奇安信代码卫士能够为客户提供一套企业级源代码缺陷分析、源代码审计、源代码缺陷修复跟踪的完整解决方案，产品支持C、C++、Java、JavaScript、PHP、Go、Python、Cobol、TSQL、PL/SQL、HTML、XML等主流编程语言的源代码，实现SQL注入、跨站脚本、路径遍历、缓冲区溢出、释放后使用、参数未初始化、硬编码密码等1400多种常见源代码缺陷检测。

奇安信开源卫士则能够通过云端分析中心，利用自主研发的开源组件分析引擎为客户提供开源组件资产发现、开源组件风险分析、开源组件漏洞告警及开源组件安全管理等服务，帮助用户掌握开源组件资产信息，及时获取开源组件漏洞信息，降低由开源组件带来的安全风险，保障客户交付更安全的软件。

目前奇安信代码安全产品在国内已经拥有数百家大型客户，覆盖了政府、金融、能源、运营商、医疗卫生、教育、汽车、航空、互联网等行业领域。