軟件供應(yīng)鏈安全是近年各國(guó)政府和業(yè)界開始關(guān)注的安全領(lǐng)域,。軟件供應(yīng)鏈安全的問(wèn)題主要表現(xiàn)為在軟件代碼中插入惡意代碼和植入安全缺陷,。軟件供應(yīng)鏈安全的薄弱環(huán)節(jié),,主要包括:關(guān)鍵軟件和設(shè)計(jì)工具難以從源頭掌握軟件供應(yīng)鏈、開源代碼潛藏安全缺陷,、管控體系尚不完善等問(wèn)題。
國(guó)舜股份在最近幾年的開發(fā)安全實(shí)踐中發(fā)現(xiàn):廠商使用第三方組件和開源組件有助于提高軟件開發(fā)的效率,,但同時(shí)也把潛在的缺陷引入,,為企業(yè)帶來(lái)未知的安全隱患。據(jù)往年軟件供應(yīng)鏈報(bào)告顯示,,超過(guò)10%的java開源組件至少包含一個(gè)已知漏洞,。
為了解決這類開源軟件的潛在安全風(fēng)險(xiǎn),提高軟件供應(yīng)鏈安全的防護(hù)能力,,SCA 工具正在成為應(yīng)用程序安全的必備工具,。國(guó)舜股份根據(jù)在金融領(lǐng)域多年的積累,推出了適合金融領(lǐng)域供應(yīng)鏈安全的SCA工具-國(guó)舜灰鴨SCA軟件成分分析系統(tǒng)(以下簡(jiǎn)稱國(guó)舜SCA),。
國(guó)舜SCA能夠進(jìn)行安全缺陷深度檢測(cè),、開源協(xié)議風(fēng)險(xiǎn)檢測(cè)、軟件成分分析,、合規(guī)分析等功能,,精準(zhǔn)識(shí)別系統(tǒng)中存在的已知安全漏洞或潛在的許可證授權(quán)問(wèn)題,把安全風(fēng)險(xiǎn)排除在軟件的發(fā)布上線之前,。
創(chuàng)新功能模塊
二進(jìn)制掃描技術(shù)
可分析二進(jìn)制組件,、Dock鏡像、可以分析字節(jié)碼,、二進(jìn)制軟件
多種掃描形式支持
支持源碼,、二進(jìn)制,、Dock鏡像、SBOM,、制品庫(kù)等多種掃描形式
部署方式靈活多樣
可支持虛擬化云部署,;支持分布式部署;支持鏡像(Docker)部署
更多產(chǎn)品優(yōu)勢(shì)
創(chuàng)建準(zhǔn)確的物料清單
物料清單將描述應(yīng)用程序中包含的組件,、所用組件的版本以及每個(gè)組件的許可證類型,。可幫助安全專業(yè)人員和開發(fā)人員更好地了解應(yīng)用程序中使用的組件,,并深入了解潛在的安全和許可問(wèn)題,。
發(fā)現(xiàn)并跟蹤所有開源組件
開源軟件和許可證管理掃描工具發(fā)現(xiàn)源代碼、二進(jìn)制文件,、構(gòu)建依賴項(xiàng),、子組件中使用的所有開源組件。
主動(dòng)和持續(xù)監(jiān)控
為了更好地管理工作負(fù)載并提高生產(chǎn)力,,SCA 持續(xù)監(jiān)控安全和漏洞問(wèn)題,,并允許用戶針對(duì)當(dāng)前和已發(fā)布產(chǎn)品中新發(fā)現(xiàn)的漏洞進(jìn)行示警。
無(wú)縫集成到構(gòu)建環(huán)境
在 DevOps 環(huán)境中集成,,以便掃描代碼并識(shí)別構(gòu)建環(huán)境中的依賴項(xiàng),。
國(guó)舜布局軟件成分分析方向,助力廠商修復(fù)軟件安全問(wèn)題,,將源代碼中存在的安全漏洞掃描出來(lái),,并整理生成完整的報(bào)告。保證用戶能夠有足夠細(xì)粒度的資產(chǎn),、風(fēng)險(xiǎn)透視能力,、風(fēng)險(xiǎn)的主動(dòng)識(shí)別能力、開源軟件的基線檢查能力,。
“軟件安全開發(fā)生命周期”的落地實(shí)踐能夠從軟件誕生的源頭提升軟件安全質(zhì)量,,國(guó)舜在金融、保險(xiǎn)及運(yùn)營(yíng)商客戶領(lǐng)域落地了不少的開發(fā)安全項(xiàng)目,,收獲了客戶認(rèn)可,,積累了豐富的開發(fā)安全經(jīng)驗(yàn)和知識(shí),并憑借國(guó)舜情景式安全管理平臺(tái),、準(zhǔn)入平臺(tái),、珍瓏IAST等一系列輔助開發(fā)安全的應(yīng)用工具,高效助力客戶網(wǎng)絡(luò)安全水平提升,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<