杭州市软件行业协会会员代表大会召开，安恒信息分享重保之软件供应链安全实践

安全开发一体化平台

安恒安全开发一体化平台，即软件供应链安全平台，是基于Gartner提出的DevSecOps理念，将安全（Security）嵌入DevOps流程中，实现软件敏捷开发过程安全性能保障的功能性平台。其主要功能包括项目管理、资产及第三方组件管理、安全需求分析与设计平台、漏洞管理、集成工具以及知识库。

软件成分分析

安恒软件成分分析平台（SCA），是一款智能组件历史漏洞检测、二进制0day风险分析、开源协议检查系统，支持生成SBOM。是安恒信息面向软件开发安全需求研发的基于软件开发安全生命周期管理的开源组件检测系统。支持对源代码、二进制文件及特征文件中的开源组件进行静态解析，并基于机器学习技术，模拟开发过程中包管理的行为，通过算法、策略、模型对项目引用到的组件及漏洞进行高效深层分析。

源代码审计系统

安恒明鉴源代码安全缺陷检测系统（SAST），通过系统自动分析软件的源代码、二进制代码，理解软件行为，检测并发现代码缺陷、违反编码规范的恶意或违规行为，解决安全开发规范标准化与自动化工具支撑的核心问题。

灰盒动态测试系统

安恒灰盒交互式安全测试系统（IAST），支持对应用的通用安全漏洞、代码层安全漏洞和开源组件安全漏洞进行有效检测，详细展示漏洞形成数据流和堆栈信息等，便于定位、验证、修复安全漏洞，系统具备漏洞检测、定位分析、主动验证、以及第三方开源组件漏洞与许可分析能力。

威胁建模分析系统

安恒威胁建模平台，根据实际项目背景、业务场景，输出威胁清单、安全需求清单、安全需求测试用例，解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。

漏洞扫描系统

安恒明鉴漏洞扫描系统（DAS-RAS），融合多年专业安全行业在信息安全漏洞挖掘、渗透测试技术研究和漏洞检查方法的最佳实践基础上，集主机/网站/应用/数据安全扫描、弱口令发现和基线配置核查于一体化，协助验证应用代码安全性能、应用安全防护性能和抗破坏能力。

安全服务

软件供应链安全保障是一项体系建设工程，除系统平台工具支撑，也需要结合运营商合规要求与现状风险，引入不同类型的安全服务，确保软件供应链安全治理的效果可衡量、风险可控制、合规能评估、威胁可处置。