產(chǎn)品&服務(wù)

首頁(yè) > 資源中心 > 資料下載 > 產(chǎn)品&服務(wù) > 正文

安恒信息發(fā)布軟件成分分析平臺(tái)，引領(lǐng)強(qiáng)基固鏈新風(fēng)向

?前言??

黨的二十大報(bào)告提出，加快建設(shè)現(xiàn)代化經(jīng)濟(jì)體系，著力提高全要素生產(chǎn)率，著力提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平。隨著軟件業(yè)的快速發(fā)展，軟件設(shè)計(jì)架構(gòu)復(fù)雜度不斷提升，軟件供應(yīng)鏈也愈發(fā)復(fù)雜。大量的業(yè)務(wù)需求疊加，致使近年來(lái)軟件供應(yīng)鏈安全事件頻繁發(fā)生，對(duì)用戶隱私、財(cái)產(chǎn)安全乃至國(guó)家安全造成重大威脅。為了更好地把握軟件供應(yīng)鏈的發(fā)展趨勢(shì)，積極應(yīng)對(duì)不斷出現(xiàn)的供應(yīng)鏈攻擊安全治理難題，企業(yè)需要將安全嵌入整個(gè)軟件開發(fā)生命周期，即安全測(cè)試“左移”。因此，能夠幫助企業(yè)自動(dòng)化分析軟件風(fēng)險(xiǎn)的“軟件成分分析平臺(tái)”應(yīng)運(yùn)而生。

安恒信息車聯(lián)網(wǎng)和中央研究院共同推出的“軟件成分分析平臺(tái)”是一款智能組件風(fēng)險(xiǎn)分析平臺(tái)（以下簡(jiǎn)稱“DAS-SCA”），是面向軟件開發(fā)安全需求研發(fā)的基于軟件開發(fā)安全生命周期管理的組件風(fēng)險(xiǎn)檢測(cè)平臺(tái)。該平臺(tái)能夠在企業(yè)軟件開發(fā)期及上線后進(jìn)行風(fēng)險(xiǎn)檢測(cè)和監(jiān)測(cè)，形成軟件應(yīng)用生命周期管理。DAS-SCA支持對(duì)源代碼、二進(jìn)制等文件中的組件進(jìn)行深層解析，實(shí)時(shí)監(jiān)測(cè)0day風(fēng)險(xiǎn)。并基于機(jī)器學(xué)習(xí)技術(shù)，能夠?qū)?xiàng)目引用到的組件及漏洞進(jìn)行高效深層分析。

DAS-SCA采用了深層的開源依賴分析、高效的軟件指紋分析、二進(jìn)制0day風(fēng)險(xiǎn)分析、機(jī)器學(xué)習(xí)分析等分析技術(shù)，能夠?qū)浖惺褂玫拈_源組件進(jìn)行快速精確識(shí)別，DAS-SCA將開源組件與漏洞進(jìn)行自動(dòng)關(guān)聯(lián)，能夠及時(shí)向企業(yè)推送影響其軟件安全的最新開源軟件漏洞情報(bào)。DAS-SCA支持與多類CICD工具集成。能夠無(wú)感知接入企業(yè)現(xiàn)有開發(fā)流程，幫助企業(yè)實(shí)現(xiàn)開發(fā)階段的風(fēng)險(xiǎn)組件生命周期閉環(huán)管理。

此外，安恒信息圍繞供應(yīng)鏈安全建設(shè)能夠提供包括DAS-SDAP(開發(fā)安全一體化平臺(tái))、供應(yīng)鏈安全治理、供應(yīng)鏈安全自查自糾、供應(yīng)鏈安全情報(bào)以及安全運(yùn)營(yíng)等成熟的產(chǎn)品和服務(wù)，支持識(shí)別、收集、排查關(guān)鍵供應(yīng)鏈，收集軟件供應(yīng)商、技術(shù)檢測(cè)方、設(shè)計(jì)建設(shè)方、安全測(cè)試方、網(wǎng)絡(luò)運(yùn)維方、安全產(chǎn)品供應(yīng)商等角色相關(guān)信息，對(duì)供應(yīng)鏈安全管理能力進(jìn)行檢查，提升軟件安全質(zhì)量落地軟件安全質(zhì)量管理體系、協(xié)助企業(yè)在軟件發(fā)布后對(duì)發(fā)生在軟件和軟件補(bǔ)丁獲取渠道的軟件供應(yīng)鏈安全事件、軟件安全漏洞披露事件進(jìn)行快速的安全響應(yīng)，控制和消除安全事件所帶來(lái)的安全威脅和不良影響，追溯和解決造成安全事件的根源所在等各項(xiàng)工作，涵蓋軟件采購(gòu)、軟件開發(fā)使用、軟件交付、軟件運(yùn)維等多個(gè)供應(yīng)活動(dòng)環(huán)節(jié)。

DAS-SCA通過(guò)幫助用戶快速發(fā)現(xiàn)并預(yù)警軟件中所存在的組件漏洞風(fēng)險(xiǎn)問(wèn)題，同時(shí)提供相關(guān)修復(fù)方案、建議，幫助研發(fā)人員提升代碼質(zhì)量，減輕安全人員重復(fù)工作的同時(shí)，降低了安全技術(shù)的門檻，做到軟件安全真正自主可控。此外，安恒信息與賽迪研究院共同落地了“軟件供應(yīng)鏈安全研究聯(lián)合實(shí)驗(yàn)室”將科研力量與企業(yè)實(shí)踐結(jié)合，為軟件供應(yīng)鏈安全保駕護(hù)航，為國(guó)家數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展貢獻(xiàn)力量。

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>