信通院全景圖發(fā)布 比瓴科技領跑軟件供應鏈安全,多領域覆蓋數(shù)字安全服務
近日,中國信息通信研究院在2024全球數(shù)字經濟大會—數(shù)字安全生態(tài)建設專題論壇正式發(fā)布首期《數(shù)字安全護航技術能力全景圖》(以下簡稱全景圖)。
比瓴科技入選軟件供應鏈安全賽道“開發(fā)流程安全管控、交互式安全測試、靜態(tài)安全測試、軟件成分分析”,并位居DevSecOps領域第一;覆蓋數(shù)字安全服務賽道“安全意識與培訓、滲透測試/眾測、攻防演練、安全咨詢與規(guī)劃”。
中國信息通信研究院(以下簡稱信通院)“數(shù)字安全護航計劃”為助推中國數(shù)字經濟高質量發(fā)展,助力數(shù)字中國建設提供有力支持,發(fā)起了全景圖的征集工作。比瓴此次入選雙賽道,代表了信通院對比瓴安全產品和安全服務在數(shù)字經濟市場發(fā)展中能力成熟度、技術創(chuàng)新和行業(yè)貢獻的認可。比瓴愿加入“數(shù)字安全護航計劃”,攜手信通院一起為數(shù)字安全貢獻力量,為數(shù)字經濟的發(fā)展保駕護航。
開發(fā)安全運營一體化解決方案(DevSecOps)
當今軟件開發(fā)的節(jié)奏日益加快,但安全與效率并非不可兼顧。比瓴科技DevsecOps咨詢服務致力于將安全與效率結合,幫助組織在實現(xiàn)軟件產品快速交付的同時,確保軟件安全性。
威脅識別
通過不斷更新和擴展的資源庫,幫助項目組積極地識別和防范潛在的安全威脅,通過智能化的內容整合和易于搜索的界面,快速獲取所需的安全信息,有效地提高開發(fā)過程的安全性和合規(guī)性。
態(tài)勢管理
與SCA、SAST、IAST等開發(fā)工具鏈無縫集成,與Git、Jenkins等開發(fā)工具鏈無縫集成,持續(xù)識別安全風險,對風險進行量化和優(yōu)先級排序,提升安全活動的自動化水平,幫助組織有效分配資源,處理最嚴重的安全問題。
持續(xù)優(yōu)化
建立安全體系并不斷地改善和優(yōu)化,在不犧牲開發(fā)速度的前提下,提高應用的安全性,減少未來安全事件的發(fā)生。
瓴鏡—軟件成分分析系統(tǒng)(SCA)
瓴鏡SCA系統(tǒng)支撐檢測評估業(yè)務場景,通過智能化數(shù)據收集引擎在全球范圍內獲取開源軟件信息及其相關漏洞信息,利用自主研發(fā)的開源軟件分析引擎為企業(yè)提供開源軟件資產識別、開源軟件安全風險分析、開源軟件漏洞告警及開源軟件安全管理等功能,幫助用戶掌握開源軟件資產信息,及時獲取開源軟件漏洞情報,降低由開源軟件帶來的安全風險,保障企業(yè)交付更安全的軟件。
基于包管理器的軟件成分分析技術
開源軟件識別與分析技術:瓴鏡SCA通過高自動化和高準確性的文件特征提取機模擬構建分析引擎,快速生成全面且準確的組件清單,并分析各組件的漏洞風險及許可證風險。
基于多鏈路的組件依賴分析技術
瓴鏡SCA基于多鏈路的組件依賴分析技術,結合擬構建和開源數(shù)據核驗,以圖形化展示提供清晰直觀的組件依賴關系圖。
漏洞可達性分析技術
瓴鏡SCA結合AST信息提取和開源組件知識庫,精確分析函數(shù)調用鏈和位置,憑借在國家級攻防演練中積累的漏洞利用規(guī)則庫,能夠清晰準確地判斷組件的真實調用情況和漏洞的可達性。
基于AI的憑證檢測技術
瓴鏡SCA通過靜態(tài)匹配規(guī)則、熵字符串檢索和機器學習算法,綜合檢測應用程序中的敏感數(shù)據,有效識別和保護顯式及隱式存儲的憑證信息,以防止數(shù)據泄露。
瓴域—安全開發(fā)管理系統(tǒng)(SDLM)
安全開發(fā)管理系統(tǒng),旨在為客戶提供統(tǒng)一的安全開發(fā)全生命周期管理服務,幫助客戶建立起高效敏捷的開發(fā)安全管控體系。平臺打通項目和應用系統(tǒng)各階段(立項、設計、開發(fā)、上線/變更、運行)中安全管控及安全檢測節(jié)點,進行安全開發(fā)全流程整合,從而實現(xiàn)安全開發(fā)管控全流程工作效率可看見、可管理、可提升;同時平臺利用收集到開發(fā)過程中的執(zhí)行數(shù)據,形成項目安全畫像及應用安全畫像,從各種維度綜合展現(xiàn)項目及應用安全開發(fā)態(tài)勢,為安全運營提供數(shù)據支持。
瓴鏡—源代碼安全審計系統(tǒng)(SAST)
瓴鏡-源代碼安全審計系統(tǒng)是采用領先的源代碼靜態(tài)分析技術開發(fā)的一款針對源代碼缺陷進行靜態(tài)分析檢測的產品。它在對目標軟件代碼進行語法、語義分析的技術上,輔以數(shù)據流分析、控制流分析和特有的缺陷分析算法等高級靜態(tài)分析手段,能夠高效的檢測出軟件源代碼中的可能導致嚴重缺陷漏洞和系統(tǒng)運行異常的安全問題和程序缺陷,并準確定位告警,從而有效的幫助開發(fā)人員消除代碼中的缺陷、減少不必要的軟件補丁升級,為軟件的信息安全保駕護航。
瓴鏡—交互式應用安全檢測系統(tǒng)(IAST)
瓴鏡交互式應用安全檢測系統(tǒng)在應用上線前必不可少的安全工具,專門用于發(fā)現(xiàn)潛在的安全風險。其最大的特點在于采用了一種獨特的“被動插樁模式”,這意味著它不會對正在運行的系統(tǒng)或應用程序產生任何干擾或產生不必要的數(shù)據。用戶在使用時,只需通過簡潔的管理界面進行項目配置,系統(tǒng)便會自動開始對應用程序的數(shù)據流進行分析。這種分析是實時的,能夠在應用程序運行時捕捉到任何可疑行為或漏洞。一旦檢測到潛在的安全漏洞,系統(tǒng)會立即向用戶發(fā)出警報,并為用戶提供詳細的漏洞信息和解決方案。
對于開發(fā)團隊來說,這個工具不僅僅是發(fā)現(xiàn)漏洞,更是修復漏洞的利器。系統(tǒng)會提供一個已驗證的漏洞列表,這些漏洞都是經過系統(tǒng)嚴格檢測并確認存在的。開發(fā)人員可以根據這個列表,實時修復代碼中的問題,確保應用程序的安全性。
安全培訓服務
安全培訓服務面向開發(fā)人員、測試人員和管理人員等角色,幫助他們了解應用安全的基本原則、最佳實踐和常見威脅,提高整體安全意識和技能水平。
滲透測試服務
滲透測試服務通過模擬真實攻擊者的攻擊行為,發(fā)現(xiàn)應用程序中存在的安全漏洞和弱點,幫助組織識別和修復潛在的安全風險,加強應用程序抵御惡意攻擊的能力。
攻防演練及紫隊服務
攻防演練及紫隊服務通過模擬實戰(zhàn)攻擊和防守的方式,發(fā)現(xiàn)組織存在的管理、技術方面的安全問題,提高組織整體安全建設水平。
安全開發(fā)成熟度評估咨詢
安全開發(fā)成熟度評估咨詢服務幫助組織客觀評估安全開發(fā)成熟度水平,通過量化數(shù)據了解安全開發(fā)現(xiàn)狀以及對應的成熟度水平,為補齊安全開發(fā)短板和成熟度提升做好準備。
安全開發(fā)成熟度提升咨詢
安全開發(fā)成熟度提升咨詢服務幫助組織提升安全開發(fā)成熟度水平,確保開發(fā)過程落實安全控制措施,降低安全風險,提高軟件質量。
APP安全認證咨詢
比瓴科技根據GB/T 35273《信息安全技術個人信息安全規(guī)范》幫助組織提升自身能力,通過中國網絡安全審查認證和市場監(jiān)管大數(shù)據中心(CCRC)的移動互聯(lián)網應用程序(App)安全認證。
DevSecOps認證咨詢
比瓴科技根據YDT 3763.6-2021《研發(fā)運營一體化(DevOps)能力成熟度模型第6部分:安全及風險管理》(DevSecOps)幫助組織提升自身能力,通過中國信息通信研究院的DevSecOps能力成熟度評估。
比瓴科技專注于軟件供應鏈安全領域,以AI和數(shù)據為核心提供覆蓋全場景的軟件供應鏈安全產品和安全咨詢服務。打通應用安全數(shù)據孤島,實現(xiàn)安全運營過程自動化,增強應用軟件資產風險可視性,為軟件安全保駕護航。
“詳細內容見官網:比瓴科技”。
