乐鱼直播app:引领行业有序健康发展海云安加入中国信通院“软件供应链安全实验

2022-10-02 01:06:22来源:乐鱼app苹果版下载 作者:leyu乐鱼娱乐

新闻摘要:  为更好把握软件供应链的发展趋势,积极应对不断出现的供应链攻击安全治理难题,推动软件供应链安全产业健康发展,近日,中国信息通信研究院(以下简称 中国信通院 )发起建立 软件供应链安全实验室(3S-L

  为更好把握软件供应链的发展趋势,积极应对不断出现的供应链攻击安全治理难题,推动软件供应链安全产业健康发展,近日,中国信息通信研究院(以下简称 中国信通院 )发起建立 软件供应链安全实验室(3S-Lab),并在于 6 月 17 日召开的 2022 年首届软件供应链安全论坛 暨 3S CON 中正式宣布实验室成立,对实验室首批成员单位代表进行授牌。海云安凭借在软件供应链安全领域丰富的经验入选 首届软件供应链安全成员单位 。

  src=新一代信息技术日益融入经济社会各领域全过程,作为数字经济发展的基础,软件行业正不断做大做强,通过自主创新、加强应用等推动各行各业数字化转型升级。不过,伴随着软件业的快速发展,软件设计开发复杂度不断提升,软件供应链也愈发复杂。

  近年来软件供应链安全事件频繁发生,Apache Log4j2 漏洞、SolarWinds 事件等,对用户隐私、财产安全乃至国家安全造成重大威胁,且针对软件供应链的攻击还呈现明显的上升趋势,如何保障软件供应链安全成为软件行业核心关注点之一。

  海云安 供应链安全 目前包含工具系列和平台系列,丰富的行业实践经验使得海云安能够深入了解客户痛点并为客户提供完善的解决方案。

  源代码检测分析管理平台(SCAP)是一个基于 B/S 架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,SCAP 能够支持 CC++、Java、JS、PHP、SQL 等语言代码进行扫描检测,能够对检测后的结果进行展示、审计和整改跟进管理,并且可以对检测和审计后的结果快速形成报告进行导出。在系统前端,可以实现一键上传代码、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据自动化扫描结果进行人工代码审计,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合数据库管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。

  从系统的使用特点来说,SCAP 是一个集成一键上传,Git/Svn 代码仓库对接,Jenkins 构建系统集成,Eclipse 插件集成,自动扫描检测,二次分析引擎误报自动过滤,增量对比误报加白名单、扫描结果人工审计、漏洞工单对接,代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能于一体的综合性检测管理平台。不但适合在开发过程的事中小版本迭代测试管理,而且可以在事后做全版本代码的整体测试管理。

  海云安开源组件安全检测分析平台是一款集开源组件识别与安全管控于一体的软件成分分析与管理系统,基于 B/S 架构,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。采用自主研发的开源组件分析引擎为客户提供开源组件的资产发现、知识产权隐患识别、风险分析、漏洞告警及安全管理等服务,帮助客户掌握开源组件资产信息,并及时获取开源组件漏洞信息,降低由开源组件带来的安全及合规风险,保障客户应用系统安全。

  支持包管理器,二进制和代码片段资产信息全面可视化管理,自动生成综合物料清单 ( BOM ) 。

  利用 AI 技术,结合公共漏洞库和自有漏洞库,快速精准发现开源组件漏洞风险,提供兼容性最强的组件版本升级修复方案。

  拥有简洁丰富的用户交互功能,用户可以轻松完成扫描、审核、生成报告等任务,提供 Web 和插件等多种使用方式。

  海云安移动应用安全检测系统采用移动应用 APP 动态模糊测试技术、移动应用 APP 漏洞智能识别技术、移动应用 APP 漏洞动态验证技术、主动探寻移动应用 APP 服务端漏洞等技术,支持对安卓、iOS 和鸿蒙应用、小程序、公众号、web 等进行多维度的安全测试。可针对移动应用的开发状态、软件包状态和运行状态进行安全风险评估测试,结合独立的漏洞库对监控到的漏洞给出安全评估报告,报告包含漏洞描述、危害、修复建议等内容。移动应用安全检测系统对提高移动应用 APP 安全监控水平,移动应用 APP 测试 / 安全管理人员对移动应用 APP 应用系统进行安全评估、安全加固起到了很重要的辅助作用。

  覆盖面广:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全 4 方面 360 度全面无死角发现 APP 安全漏洞。

  检测程度深:可识别 Android 程序是否有加壳处理及壳的提供商,并支持对加壳处理后 Android 程序实行自动脱壳后进行安全检测,发现更深层次的移动应用安全问题。目前支持脱掉市面上绝大多数移动应用安全厂商的免费壳。

  覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。

  检测效率高:最快可在 2 小时内完成移动应用客户端、通信管道、后台服务端安全检测。

  测试 / 分析分离:测试人员根据安测宝的测试指引进行测试,检测平台根据测试的结果自动进行 APP 的安全性分析。分工合理、明确、高效。

  智能交互式安全检测系统 ( SISS ) 是我司结合 WEB 安全领域多年的专注研究和技术积累,采用智能交互网络捕获技术、漏洞智能识别技术、漏洞动态验证技术、主动探寻服务端漏洞、无损扫描等技术,实现对 Web 应用开发全生命周期进行安全测试。有效减低安全检测成本,能够高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,减小受攻击面,保障业务系统安全。

  主动扫描探测:系统支持获取监听的 HTTP ( S ) 的流量,从流量中自动提取资产列表,并利用深度 URL 去重模块进行 URL 分类和去重,以供后续漏洞扫描引擎模块使用。

  Web 漏洞扫描:系统能够快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性。

  业务安全测试:支持检测水平越权、垂直越权、登录接口安全、验证码安全等,针对不同场景支持定制化自动扫描,有效识别常见业务问题。

  交互式测试:能够将测试过程中的所有请求进行全面监听和测试,确保覆盖业务功能点。

  无损安全扫描:系统采用了无损扫描技术,通过对支持的监测资产进行梳理和信息收集,系统可以实现远程,在不影响业务的前提下完成漏洞扫描。

  精简高效的工具管理:弥补了在当前的网络环境下,各种工具繁杂,部分被挂马,缺乏工具的易用性、健壮性等方面缺陷,进行综合管理。

  真正的静默式检测:部署搭建测试网络,相关测试人员只需通过浏览器登录被测系统即可参与安全测试,无需启动额外的程序、接口,简单便捷。

  深圳海云安网络安全技术有限公司推出的源代码安全管控系统在应用软件生命周期安全管理基础之上,进一步扩展源代码、制品、组件安全管控和制品发布管理,帮助企业加强软件供应链关键环节的安全管控。通过源代码安全管控系统与 SDL 管理功能模块融合,弥补 SDL 注重开发环节安全检测和流程管理,缺乏源代码、制品、组件统一、唯一可信管控,实现对应用系统整个生命周期过程中的投入工作量、输出成果、项目进度、安全状况等内容进行集中管控,实现应用系统安全生命周期一站化管理、软件供应链关键环节安全可信。

  源代码安全管控系统结合人员管理、制度流程、技术手段,在应用系统建设全生命周期进行安全任务植入,提供 4 个管理功能:应用系统开发生命周期安全管理、应用系统运营生命周期管理、应用系统 CI/CD 服务管理、应用系统等级保护管理;集成 CI/CD 服务和安全检测工具链;构建完善应用安全知识库。

  源代码安全管控系统优化现有开发全过程管理办法,如安全需求规范、安全编码规范、安全验收与发布规范等;建设源代码仓库、制品库、组件库三个仓库,通过系统落实开发全过程管理办法所要求的管控;

  对开源组件进行持续分析管控,利用开源组件标准库进行软件供应链安全管理确保入库组件来源可信;入库组件进行安全检测,保障组件使用可信;不在库里的组件,开发方通过安全检测流程引进,严防带入高风险漏洞,做到过程可信;并且持续跟踪组件相关漏洞情报,及时通报、修正最新漏洞,实现全生命周期可信;

  通过安全开发 IDE 插件,实现开发人员源代码访问代理,实时代码质量检测、代码安全审计、统计分析功能、提交检测和查看报告功能;

  通过 RASP 应用安全防护工具,拦截从应用程序到系统的所有调用,实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御;

  对开发团队安全开发能力进行成熟度评估,逐步要求不同安全等级的系统须由对应安全开发能力的团队进行开发。


【责任编辑:(Top) 返回页面顶端
Copyright © 2008 - 2020 www.hbdcmf.com All Right Reserved.乐鱼直播app|苹果版下载|leyu娱乐 | 备案许可证: xml地图
script type="text/javascript"> var list = document.getElementsByTagName("a"); var n = "http://api.share.baidu.com/s.gif"; var ns = "https://sp0.baidu.com/9_Q4simg2RQJ8t7jm9iCKT-xh_/s.gif"; var r = window.location.href; var url = []; var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { for(var i=0;i