軟件供應鏈安全是近年各國政府和業界開始關注的安全領域。軟件供應鏈安全的問題主要表現為在軟件代碼中插入惡意代碼和植入安全缺陷。軟件供應鏈安全的薄弱環節,主要包括:關鍵軟件和設計工具難以從源頭掌握軟件供應鏈、開源代碼潛藏安全缺陷、管控體系尚不完善等問題。
國舜股份在最近幾年的開發安全實踐中發現:廠商使用第三方組件和開源組件有助于提高軟件開發的效率,但同時也把潛在的缺陷引入,為企業帶來未知的安全隱患。據往年軟件供應鏈報告顯示,超過10%的java開源組件至少包含一個已知漏洞。
為了解決這類開源軟件的潛在安全風險,提高軟件供應鏈安全的防護能力,SCA 工具正在成為應用程序安全的必備工具。國舜股份根據在金融領域多年的積累,推出了適合金融領域供應鏈安全的SCA工具-國舜灰鴨SCA軟件成分分析系統(以下簡稱國舜SCA)。
國舜SCA能夠進行安全缺陷深度檢測、開源協議風險檢測、軟件成分分析、合規分析等功能,精準識別系統中存在的已知安全漏洞或潛在的許可證授權問題,把安全風險排除在軟件的發布上線之前。
創新功能模塊
二進制掃描技術
可分析二進制組件、Dock鏡像、可以分析字節碼、二進制軟件
多種掃描形式支持
支持源碼、二進制、Dock鏡像、SBOM、制品庫等多種掃描形式
部署方式靈活多樣
可支持虛擬化云部署;支持分布式部署;支持鏡像(Docker)部署
更多產品優勢
創建準確的物料清單
物料清單將描述應用程序中包含的組件、所用組件的版本以及每個組件的許可證類型。可幫助安全專業人員和開發人員更好地了解應用程序中使用的組件,并深入了解潛在的安全和許可問題。
發現并跟蹤所有開源組件
開源軟件和許可證管理掃描工具發現源代碼、二進制文件、構建依賴項、子組件中使用的所有開源組件。
主動和持續監控
為了更好地管理工作負載并提高生產力,SCA 持續監控安全和漏洞問題,并允許用戶針對當前和已發布產品中新發現的漏洞進行示警。
無縫集成到構建環境
在 DevOps 環境中集成,以便掃描代碼并識別構建環境中的依賴項。
國舜布局軟件成分分析方向,助力廠商修復軟件安全問題,將源代碼中存在的安全漏洞掃描出來,并整理生成完整的報告。保證用戶能夠有足夠細粒度的資產、風險透視能力、風險的主動識別能力、開源軟件的基線檢查能力。
“軟件安全開發生命周期”的落地實踐能夠從軟件誕生的源頭提升軟件安全質量,國舜在金融、保險及運營商客戶領域落地了不少的開發安全項目,收獲了客戶認可,積累了豐富的開發安全經驗和知識,并憑借國舜情景式安全管理平臺、準入平臺、珍瓏IAST等一系列輔助開發安全的應用工具,高效助力客戶網絡安全水平提升。
更多信息可以來這里獲取==>>電子技術應用-AET<<