導航
安全產(chǎn)品
安全服務(wù)與運營(yíng)
解決方案
企業(yè)動(dòng)態(tài)
安全研究
關(guān)于國舜
◆ 網(wǎng)絡(luò )安全防護
▼
◆ 網(wǎng)絡(luò )安全檢測
▼
▼
◆ 開(kāi)發(fā)安全
▼
◆ 數據安全
▼
◆ 業(yè)務(wù)安全
▼
◆ 物聯(lián)網(wǎng)安全
▼
◆ 工控安全
▼
◆ 移動(dòng)安全
▼
◆ 安全管理
? 攻防演練服務(wù)
攻防演練服務(wù)
▼
◆ 安全技術(shù)服務(wù)
▼
◆ 安全培訓服務(wù)
▼
◆ 安全咨詢(xún)服務(wù)
▼
◆ 攻防演練服務(wù)
▼
◆ 安全運營(yíng)服務(wù)
▼
◆ 專(zhuān)項安全評估
▼
◆ 行業(yè)解決方案
▼
◆ 技術(shù)解決方案
400-696-8096
為了解決開(kāi)源軟件的潛在安全風(fēng)險,提高軟件供應鏈安全的防護能力,SCA 工具正在成為應用程序安全的必備工具。國舜推出灰鴨SCA軟件成分分析系統,為企業(yè)創(chuàng )造環(huán)境,通過(guò)代碼掃描發(fā)現 OSS 的證據,及早發(fā)現漏洞和許可問(wèn)題并降低修復成本,并允許自動(dòng)掃描以更少的成本發(fā)現和修復問(wèn)題。
立即咨詢(xún)
產(chǎn)品概述
功能特點(diǎn)
產(chǎn)品優(yōu)勢
典型應用
客戶(hù)價(jià)值
產(chǎn)品概述
背景
開(kāi)源軟件具有開(kāi)放、共享、自由等特性,在軟件開(kāi)發(fā)中扮演著(zhù)越來(lái)越重要的角色,也是軟件供應鏈的重要組成部分。根據Gartner調查顯示,99%的組織在其 IT系統中使用了開(kāi)源軟件。而來(lái)自Sonatype公司的一項調查則顯示,在參與調查的3000家企業(yè)中,每年每家企業(yè)平均下載 5000個(gè)開(kāi)源軟件。 開(kāi)源代碼的使用大幅度提高軟件研發(fā)效率、縮短上市時(shí)間、降低開(kāi)發(fā)成本,但是開(kāi)源軟件中存在的大量缺陷、甚至安全漏洞也一并進(jìn)入了軟件部署包,為軟件帶來(lái)巨大的安全風(fēng)險。 根據國外安全機構的調研報告顯示,企業(yè)應用代碼超過(guò)80%來(lái)自第三方資源庫或第三方組件,97%的java程序至少存在1個(gè)已知安全漏洞,而由第三方代碼缺陷導致的信息泄露漏洞占比高達72%。 而國內企業(yè)的應用系統也存在同樣的問(wèn)題,比如漏洞頻發(fā)的Fastjson庫,攻擊者可利用其反序列化漏洞,遠程命令執行入侵到企業(yè)服務(wù)器,通過(guò)服務(wù)器執行命令,危害性極大。類(lèi)似的還有jackson、shiro、Struts2,、OpenSSL等。 為了解決這類(lèi)開(kāi)源軟件的潛在安全風(fēng)險,提高軟件供應鏈安全的防護能力,SCA 工具正在成為應用程序安全的必備工具。國舜推出灰鴨SCA軟件成分分析系統,為企業(yè)創(chuàng )造環(huán)境,通過(guò)代碼掃描發(fā)現 OSS 的證據,及早發(fā)現漏洞和許可問(wèn)題并降低修復成本,并允許自動(dòng)掃描以更少的成本發(fā)現和修復問(wèn)題。
簡(jiǎn)介
SCA 解決方案分為兩大類(lèi): 1. 管理、安全、DevOps 和法律團隊使用的治理解決方案提供對組織軟件組合的完全可見(jiàn)性和控制。 2. 開(kāi)發(fā)人員工具可幫助開(kāi)發(fā)人員在拉取之前避免易受攻擊的開(kāi)源組件,并通過(guò)與本機開(kāi)發(fā)環(huán)境集成的工具修復在其代碼中檢測到的任何漏洞。 國舜灰鴨SCA 解決方案同時(shí)提供治理和開(kāi)發(fā)人員工具。這保證了每個(gè)人都能在需要的時(shí)間和地點(diǎn)獲得所需的工具。
功能特點(diǎn)
項目管理
項目管理模塊可以對每個(gè)項目進(jìn)行隔離,方便待檢測應用在本系統中構建獨立的檢測任務(wù),清晰反映出各項目迭代過(guò)程中組件安全問(wèn)題的爆發(fā)和修復過(guò)程。 項目管理模塊包含對項目新建、編輯、刪除等操作,以及項目基礎信息、檢測清單、檢測任務(wù)創(chuàng )建與跟蹤、漏洞數據和組件數據的可視化分析呈現,讓項目的管理人員能夠方便的對項目進(jìn)行操作,隨時(shí)關(guān)注到項目的組件安全測試進(jìn)度,了解測試的結果數據及數據分析的結果。支持項目上線(xiàn)前的回歸測試,杜絕產(chǎn)品帶病上線(xiàn),整體評估項目安全性,幫助項目管理者把控項目整體的安全質(zhì)量。
軟件成分分析
軟件成分分析模塊可對軟件源代碼包、遠程代碼倉庫等目標發(fā)起開(kāi)源軟件成分分析任務(wù),掃描獲取項目中所有引用到的第三方組件,將軟件成分數據回傳到軟件成分風(fēng)險分析引擎,對第三方組件的安全漏洞風(fēng)險,開(kāi)源許可證風(fēng)險進(jìn)行評估,并可視化展示。 幫助用戶(hù)梳理項目中的第三方組件使用情況,針對第三方組件的風(fēng)險,分為安全漏洞風(fēng)險、開(kāi)源許可證風(fēng)險兩類(lèi),幫助用戶(hù)完全掌握第三方組件的安全風(fēng)險,評估對第三方組件的修復方案。
結果查驗分析
結果查驗分析模塊可對現有掃描結果進(jìn)一步查驗,查詢(xún)對應的組件及漏洞在各項目中的分布情況。通過(guò)查驗比對,可進(jìn)一步降低安全組件漏洞風(fēng)險、開(kāi)源許可證風(fēng)險的復現概率。
特點(diǎn)
1.依賴(lài)分析 與 Maven 等構建工具集成,用來(lái)追蹤使用 Java語(yǔ)言構建的應用程序中聲明的和間接引用的開(kāi)源依賴(lài)項。 2.加密分析 將字符串、文件和目錄信息等進(jìn)行sha1加密,映射到知識庫,以識別使用 Java 等語(yǔ)言構建的應用程序中的開(kāi)源和第三方組件。 3.二進(jìn)制分析 識別已編譯的應用程序庫和可執行文件中的開(kāi)源組件,無(wú)需源代碼或構建系統的權限。 4.開(kāi)源許可證分析 將識別的組件映射到我們知識庫中,識別已知開(kāi)源組件許可協(xié)議,并標記具有未知許可證的組件。通過(guò)更深入地了解許可協(xié)議要求,降低知識產(chǎn)權的成本和風(fēng)險。
產(chǎn)品優(yōu)勢
創(chuàng )建準確的物料清單
物料清單將描述應用程序中包含的組件、所用組件的版本以及每個(gè)組件的許可證類(lèi)型??蓭椭踩珜?zhuān)業(yè)人員和開(kāi)發(fā)人員更好地了解應用程序中使用的組件,并深入了解潛在的安全和許可問(wèn)題。
發(fā)現并跟蹤所有開(kāi)源
開(kāi)源軟件和許可證管理掃描工具發(fā)現源代碼、二進(jìn)制文件、構建依賴(lài)項、子組件以中使用的所有開(kāi)源組件。
主動(dòng)和持續監控
為了更好地管理工作負載并提高生產(chǎn)力,SCA 繼續監控安全和漏洞問(wèn)題,并允許用戶(hù)針對當前和已發(fā)布產(chǎn)品中新發(fā)現的漏洞進(jìn)行報警。
無(wú)縫集成到構建環(huán)境
在 DevOps 環(huán)境中集成,以便掃描代碼并識別構建環(huán)境中的依賴(lài)項。
典型應用
通過(guò)分析引擎對源代碼進(jìn)行靜態(tài)的分析和檢測,分析的過(guò)程中與其特有的軟件安全漏洞規則集進(jìn)行全面地匹配、查找。利用算法解決二進(jìn)制代碼端到端匹配問(wèn)題,來(lái)實(shí)現全方位的開(kāi)源代碼溯源、開(kāi)源許可證分析以及開(kāi)源漏洞的檢測。覆蓋組件基本信息、開(kāi)源許可證使用情況等信息,提升軟件成分分析的檢測水平。助力用戶(hù)能夠有足夠細粒度的資產(chǎn)、風(fēng)險透視能力、風(fēng)險的主動(dòng)識別能力、開(kāi)源軟件的基線(xiàn)檢查能力。
客戶(hù)價(jià)值
已知漏洞
第三方組件中本身存在的漏洞,攻擊者可以利用這些已知的漏洞,對應用系統進(jìn)行攻擊破壞。國舜灰鴨SCA可以發(fā)現這些隱藏在開(kāi)源軟件深層的安全漏洞,清楚軟件中存在多少已知安全漏洞。
軟件許可
分析調用的第三方組件的許可證類(lèi)型。開(kāi)源許可證有很多種,有的許可證對軟件的使用方式幾乎沒(méi)有限制,有些存在限制性比較強的許可證,如果不小心調用,可能會(huì )帶來(lái)較大的法律風(fēng)險和知識產(chǎn)權的損失。國舜灰鴨SCA可以發(fā)現使用開(kāi)源組件的許可協(xié)議,并進(jìn)行風(fēng)險提示,對許可協(xié)議相關(guān)風(fēng)險及時(shí)處理。
惡意代碼問(wèn)題
開(kāi)源組件中存在惡意代碼,危害比較大。風(fēng)險的來(lái)源主要是在非正規渠道獲取被篡改的第三方組件,或使用了惡意開(kāi)發(fā)者提供的第三方組件,未經(jīng)確認就引入開(kāi)發(fā)的業(yè)務(wù)系統中會(huì )帶來(lái)極大風(fēng)險。國舜灰鴨SCA通過(guò)二進(jìn)制分析,對代碼來(lái)源進(jìn)行檢測,及時(shí)發(fā)現被篡改組件,排除惡意代碼風(fēng)險。
北京國舜科技股份有限公司
Beijing Guoshun Technology Co., Ltd.
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯(lián)系我們
熱線(xiàn):400-696-8096
電話(huà):010-82838085
郵編:100044
郵箱:contact@unisguard.com
關(guān)注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網(wǎng)安備110108000272號