前 言
党的二十大报告提出,加快建设现代化经济体系,着力提高全要素生产率,着力提升产业链供应链韧性和安全水平。随着软件业的快速发展,软件设计架构复杂度不断提升,软件供应链也愈发复杂。大量的业务需求叠加,致使近年来软件供应链安全事件频繁发生,对用户隐私、财产安全乃至国家安全造成重大威胁。为了更好地把握软件供应链的发展趋势,积极应对不断出现的供应链攻击安全治理难题,企业需要将安全嵌入整个软件开发生命周期,即安全测试“左移”。因此,能够帮助企业自动化分析软件风险的“软件成分分析平台”应运而生。
安恒信息车联网和中央研究院共同推出的“软件成分分析平台”是一款智能组件风险分析平台(以下简称“DAS-SCA”),是面向软件开发安全需求研发的基于软件开发安全生命周期管理的组件风险检测平台。该平台能够在企业软件开发期及上线后进行风险检测和监测,形成软件应用生命周期管理。DAS-SCA支持对源代码、二进制等文件中的组件进行深层解析,实时监测0day风险。并基于机器学习技术,能够对项目引用到的组件及漏洞进行高效深层分析。
DAS-SCA采用了深层的开源依赖分析、高效的软件指纹分析、二进制0day风险分析、机器学习分析等分析技术,能够对软件中使用的开源组件进行快速精确识别,DAS-SCA将开源组件与漏洞进行自动关联,能够及时向企业推送影响其软件安全的最新开源软件漏洞情报。DAS-SCA支持与多类CICD工具集成。能够无感知接入企业现有开发流程,帮助企业实现开发阶段的风险组件生命周期闭环管理。
此外,安恒信息围绕供应链安全建设能够提供包括DAS-SDAP(开发安全一体化平台)、供应链安全治理、供应链安全自查自纠、供应链安全情报以及安全运营等成熟的产品和服务,支持识别、收集、排查关键供应链,收集软件供应商、技术检测方、设计建设方、安全测试方、网络运维方、安全产品供应商等角色相关信息,对供应链安全管理能力进行检查,提升软件安全质量落地软件安全质量管理体系、协助企业在软件发布后对发生在软件和软件补丁获取渠道的软件供应链安全事件、软件安全漏洞披露事件进行快速的安全响应,控制和消除安全事件所带来的安全威胁和不良影响,追溯和解决造成安全事件的根源所在等各项工作,涵盖软件采购、软件开发使用、软件交付、软件运维等多个供应活动环节。
DAS-SCA通过帮助用户快速发现并预警软件中所存在的组件漏洞风险问题,同时提供相关修复方案、建议,帮助研发人员提升代码质量,减轻安全人员重复工作的同时,降低了安全技术的门槛,做到软件安全真正自主可控。此外,安恒信息与赛迪研究院共同落地了“软件供应链安全研究联合实验室”将科研力量与企业实践结合,为软件供应链安全保驾护航,为国家数字经济高质量发展贡献力量。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...