• <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>

    國舜灰鴨SCA軟件成分分析系統

    為了解決開(kāi)源軟件的潛在安全風(fēng)險,提高軟件供應鏈安全的防護能力,SCA 工具正在成為應用程序安全的必備工具。國舜推出灰鴨SCA軟件成分分析系統,為企業(yè)創(chuàng )造環(huán)境,通過(guò)代碼掃描發(fā)現 OSS 的證據,及早發(fā)現漏洞和許可問(wèn)題并降低修復成本,并允許自動(dòng)掃描以更少的成本發(fā)現和修復問(wèn)題。

    立即咨詢(xún)

    產(chǎn)品概述

    功能特點(diǎn)

    產(chǎn)品優(yōu)勢

    典型應用

    客戶(hù)價(jià)值

    產(chǎn)品概述

    背景

    開(kāi)源軟件具有開(kāi)放、共享、自由等特性,在軟件開(kāi)發(fā)中扮演著(zhù)越來(lái)越重要的角色,也是軟件供應鏈的重要組成部分。根據Gartner調查顯示,99%的組織在其 IT系統中使用了開(kāi)源軟件。而來(lái)自Sonatype公司的一項調查則顯示,在參與調查的3000家企業(yè)中,每年每家企業(yè)平均下載 5000個(gè)開(kāi)源軟件。 開(kāi)源代碼的使用大幅度提高軟件研發(fā)效率、縮短上市時(shí)間、降低開(kāi)發(fā)成本,但是開(kāi)源軟件中存在的大量缺陷、甚至安全漏洞也一并進(jìn)入了軟件部署包,為軟件帶來(lái)巨大的安全風(fēng)險。 根據國外安全機構的調研報告顯示,企業(yè)應用代碼超過(guò)80%來(lái)自第三方資源庫或第三方組件,97%的java程序至少存在1個(gè)已知安全漏洞,而由第三方代碼缺陷導致的信息泄露漏洞占比高達72%。 而國內企業(yè)的應用系統也存在同樣的問(wèn)題,比如漏洞頻發(fā)的Fastjson庫,攻擊者可利用其反序列化漏洞,遠程命令執行入侵到企業(yè)服務(wù)器,通過(guò)服務(wù)器執行命令,危害性極大。類(lèi)似的還有jackson、shiro、Struts2,、OpenSSL等。 為了解決這類(lèi)開(kāi)源軟件的潛在安全風(fēng)險,提高軟件供應鏈安全的防護能力,SCA 工具正在成為應用程序安全的必備工具。國舜推出灰鴨SCA軟件成分分析系統,為企業(yè)創(chuàng )造環(huán)境,通過(guò)代碼掃描發(fā)現 OSS 的證據,及早發(fā)現漏洞和許可問(wèn)題并降低修復成本,并允許自動(dòng)掃描以更少的成本發(fā)現和修復問(wèn)題。

    簡(jiǎn)介

    SCA 解決方案分為兩大類(lèi): 1. 管理、安全、DevOps 和法律團隊使用的治理解決方案提供對組織軟件組合的完全可見(jiàn)性和控制。 2. 開(kāi)發(fā)人員工具可幫助開(kāi)發(fā)人員在拉取之前避免易受攻擊的開(kāi)源組件,并通過(guò)與本機開(kāi)發(fā)環(huán)境集成的工具修復在其代碼中檢測到的任何漏洞。 國舜灰鴨SCA 解決方案同時(shí)提供治理和開(kāi)發(fā)人員工具。這保證了每個(gè)人都能在需要的時(shí)間和地點(diǎn)獲得所需的工具。

    功能特點(diǎn)

    項目管理

    項目管理模塊可以對每個(gè)項目進(jìn)行隔離,方便待檢測應用在本系統中構建獨立的檢測任務(wù),清晰反映出各項目迭代過(guò)程中組件安全問(wèn)題的爆發(fā)和修復過(guò)程。 項目管理模塊包含對項目新建、編輯、刪除等操作,以及項目基礎信息、檢測清單、檢測任務(wù)創(chuàng )建與跟蹤、漏洞數據和組件數據的可視化分析呈現,讓項目的管理人員能夠方便的對項目進(jìn)行操作,隨時(shí)關(guān)注到項目的組件安全測試進(jìn)度,了解測試的結果數據及數據分析的結果。支持項目上線(xiàn)前的回歸測試,杜絕產(chǎn)品帶病上線(xiàn),整體評估項目安全性,幫助項目管理者把控項目整體的安全質(zhì)量。

    軟件成分分析

    軟件成分分析模塊可對軟件源代碼包、遠程代碼倉庫等目標發(fā)起開(kāi)源軟件成分分析任務(wù),掃描獲取項目中所有引用到的第三方組件,將軟件成分數據回傳到軟件成分風(fēng)險分析引擎,對第三方組件的安全漏洞風(fēng)險,開(kāi)源許可證風(fēng)險進(jìn)行評估,并可視化展示。 幫助用戶(hù)梳理項目中的第三方組件使用情況,針對第三方組件的風(fēng)險,分為安全漏洞風(fēng)險、開(kāi)源許可證風(fēng)險兩類(lèi),幫助用戶(hù)完全掌握第三方組件的安全風(fēng)險,評估對第三方組件的修復方案。

    結果查驗分析

    結果查驗分析模塊可對現有掃描結果進(jìn)一步查驗,查詢(xún)對應的組件及漏洞在各項目中的分布情況。通過(guò)查驗比對,可進(jìn)一步降低安全組件漏洞風(fēng)險、開(kāi)源許可證風(fēng)險的復現概率。

    特點(diǎn)

    1.依賴(lài)分析 與 Maven 等構建工具集成,用來(lái)追蹤使用 Java語(yǔ)言構建的應用程序中聲明的和間接引用的開(kāi)源依賴(lài)項。 2.加密分析 將字符串、文件和目錄信息等進(jìn)行sha1加密,映射到知識庫,以識別使用 Java 等語(yǔ)言構建的應用程序中的開(kāi)源和第三方組件。 3.二進(jìn)制分析 識別已編譯的應用程序庫和可執行文件中的開(kāi)源組件,無(wú)需源代碼或構建系統的權限。 4.開(kāi)源許可證分析 將識別的組件映射到我們知識庫中,識別已知開(kāi)源組件許可協(xié)議,并標記具有未知許可證的組件。通過(guò)更深入地了解許可協(xié)議要求,降低知識產(chǎn)權的成本和風(fēng)險。

    產(chǎn)品優(yōu)勢

    創(chuàng )建準確的物料清單

    物料清單將描述應用程序中包含的組件、所用組件的版本以及每個(gè)組件的許可證類(lèi)型??蓭椭踩珜?zhuān)業(yè)人員和開(kāi)發(fā)人員更好地了解應用程序中使用的組件,并深入了解潛在的安全和許可問(wèn)題。

    發(fā)現并跟蹤所有開(kāi)源

    開(kāi)源軟件和許可證管理掃描工具發(fā)現源代碼、二進(jìn)制文件、構建依賴(lài)項、子組件以中使用的所有開(kāi)源組件。

    主動(dòng)和持續監控

    為了更好地管理工作負載并提高生產(chǎn)力,SCA 繼續監控安全和漏洞問(wèn)題,并允許用戶(hù)針對當前和已發(fā)布產(chǎn)品中新發(fā)現的漏洞進(jìn)行報警。

    無(wú)縫集成到構建環(huán)境

    在 DevOps 環(huán)境中集成,以便掃描代碼并識別構建環(huán)境中的依賴(lài)項。

    典型應用

    通過(guò)分析引擎對源代碼進(jìn)行靜態(tài)的分析和檢測,分析的過(guò)程中與其特有的軟件安全漏洞規則集進(jìn)行全面地匹配、查找。利用算法解決二進(jìn)制代碼端到端匹配問(wèn)題,來(lái)實(shí)現全方位的開(kāi)源代碼溯源、開(kāi)源許可證分析以及開(kāi)源漏洞的檢測。覆蓋組件基本信息、開(kāi)源許可證使用情況等信息,提升軟件成分分析的檢測水平。助力用戶(hù)能夠有足夠細粒度的資產(chǎn)、風(fēng)險透視能力、風(fēng)險的主動(dòng)識別能力、開(kāi)源軟件的基線(xiàn)檢查能力。

    客戶(hù)價(jià)值

    已知漏洞

    第三方組件中本身存在的漏洞,攻擊者可以利用這些已知的漏洞,對應用系統進(jìn)行攻擊破壞。國舜灰鴨SCA可以發(fā)現這些隱藏在開(kāi)源軟件深層的安全漏洞,清楚軟件中存在多少已知安全漏洞。

    軟件許可

    分析調用的第三方組件的許可證類(lèi)型。開(kāi)源許可證有很多種,有的許可證對軟件的使用方式幾乎沒(méi)有限制,有些存在限制性比較強的許可證,如果不小心調用,可能會(huì )帶來(lái)較大的法律風(fēng)險和知識產(chǎn)權的損失。國舜灰鴨SCA可以發(fā)現使用開(kāi)源組件的許可協(xié)議,并進(jìn)行風(fēng)險提示,對許可協(xié)議相關(guān)風(fēng)險及時(shí)處理。

    惡意代碼問(wèn)題

    開(kāi)源組件中存在惡意代碼,危害比較大。風(fēng)險的來(lái)源主要是在非正規渠道獲取被篡改的第三方組件,或使用了惡意開(kāi)發(fā)者提供的第三方組件,未經(jīng)確認就引入開(kāi)發(fā)的業(yè)務(wù)系統中會(huì )帶來(lái)極大風(fēng)險。國舜灰鴨SCA通過(guò)二進(jìn)制分析,對代碼來(lái)源進(jìn)行檢測,及時(shí)發(fā)現被篡改組件,排除惡意代碼風(fēng)險。

    北京國舜科技股份有限公司

    Beijing Guoshun Technology Co., Ltd.

    北京市海淀區高梁橋斜街42號融匯國際大廈東區三層

    安全產(chǎn)品

    開(kāi)發(fā)安全

    SOAR

    業(yè)務(wù)安全

    網(wǎng)頁(yè)防篡改

    安全服務(wù)

    安全培訓

    安全咨詢(xún)

    攻防演練

    安全評估

    解決方案

    開(kāi)發(fā)安全

    實(shí)戰攻防演練

    城市安全運營(yíng)

    銀行行業(yè)

    關(guān)于我們

    企業(yè)介紹

    榮譽(yù)認可

    加入我們

    聯(lián)系我們

    聯(lián)系我們

    熱線(xiàn):400-696-8096

    電話(huà):010-82838085

    郵編:100044

    郵箱:contact@unisguard.com

    關(guān)注我們

    Copyright ?

    unisguard.com All Rights Reserved.

    北京國舜科技股份有限公司

    版權所有

    京ICP備09050222號

    京公網(wǎng)安備110108000272號

    日本公与熄乱理在线播放_国内精品久久人妻无码妲己_久久精品国产精品亚洲艾草_亚洲色偷拍另类无码专区
  • <li id="qswyw"><xmp id="qswyw">
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>
  • <button id="qswyw"></button>