为更好把握软件供应链的发展趋势,积极应对不断出现的供应链攻击安全治理难题,推动软件供应链安全产业健康发展,近日,中国信息通信研究院(以下简称“中国信通院”)发起建立“软件供应链安全实验室(3S-Lab)”,并在于6月17日召开的“2022年首届软件供应链安全论坛”暨3S CON中正式宣布实验室成立,对实验室首批成员单位代表进行授牌。海云安凭借在软件供应链安全领域丰富的经验入选“首届软件供应链安全成员单位”。
新一代信息技术日益融入经济社会各领域全过程,作为数字经济发展的基础,软件行业正不断做大做强,通过自主创新、加强应用等推动各行各业数字化转型升级。不过,伴随着软件业的快速发展,软件设计开发复杂度不断提升,软件供应链也愈发复杂。
近年来软件供应链安全事件频繁发生,Apache Log4j2 漏洞、SolarWinds 事件等,对用户隐私、财产安全乃至国家安全造成重大威胁,且针对软件供应链的攻击还呈现明显的上升趋势,如何保障软件供应链安全成为软件行业核心关注点之一。
海云安“供应链安全”目前包含工具系列和平台系列,丰富的行业实践经验使得海云安能够深入了解客户痛点并为客户提供完善的解决方案。
白盒产品:海云安源代码检测分析管理平台
源代码检测分析管理平台(SCAP)是一个基于B/S架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,SCAP能够支持C\C++、Java、JS、PHP、SQL等语言代码进行扫描检测,能够对检测后的结果进行展示、审计和整改跟进管理,并且可以对检测和审计后的结果快速形成报告进行导出。在系统前端,可以实现一键上传代码、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据自动化扫描结果进行人工代码审计,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合数据库管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。
从系统的使用特点来说,SCAP是一个集成一键上传,Git/Svn代码仓库对接,Jenkins构建系统集成,Eclipse插件集成,自动扫描检测,二次分析引擎误报自动过滤,增量对比误报加白名单、扫描结果人工审计、漏洞工单对接,代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能于一体的综合性检测管理平台。不但适合在开发过程的事中小版本迭代测试管理,而且可以在事后做全版本代码的整体测试管理。
组件检测产品:海云安开源组件检测分析管理系统
海云安开源组件安全检测分析平台是一款集开源组件识别与安全管控于一体的软件成分分析与管理系统,基于B/S架构,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。采用自主研发的开源组件分析引擎为客户提供开源组件的资产发现、知识产权隐患识别、风险分析、漏洞告警及安全管理等服务,帮助客户掌握开源组件资产信息,并及时获取开源组件漏洞信息,降低由开源组件带来的安全及合规风险,保障客户应用系统安全。
软件资产可视化
支持包管理器,二进制和代码片段资产信息全面可视化管理,自动生成综合物料清单(BOM)。
快速精准发现组件漏洞
利用AI技术,结合公共漏洞库和自有漏洞库,快速精准发现开源组件漏洞风险,提供兼容性最强的组件版本升级修复方案。
无缝对接开发流水线
使用轻量级插件和API,无缝对接软件开发全过程。
便捷友好使用
拥有简洁丰富的用户交互功能,用户可以轻松完成扫描、审核、生成报告等任务,提供Web和插件等多种使用方式。
黑盒产品:海云安移动应用安全检测系统MARS2000
海云安移动应用安全检测系统采用移动应用APP动态模糊测试技术、移动应用APP漏洞智能识别技术、移动应用APP漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术,支持对安卓、iOS和鸿蒙应用、小程序、公众号、web等进行多维度的安全测试。可针对移动应用的开发状态、软件包状态和运行状态进行安全风险评估测试,结合独立的漏洞库对监控到的漏洞给出安全评估报告,报告包含漏洞描述、危害、修复建议等内容。移动应用安全检测系统对提高移动应用APP安全监控水平,移动应用APP测试/安全管理人员对移动应用APP应用系统进行安全评估、安全加固起到了很重要的辅助作用。
系统具有以下优势特点:
覆盖面广:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全4方面360度全面无死角发现APP安全漏洞。
检测程度深:可识别Android程序是否有加壳处理及壳的提供商,并支持对加壳处理后Android程序实行自动脱壳后进行安全检测,发现更深层次的移动应用安全问题。目前支持脱掉市面上绝大多数移动应用安全厂商的免费壳。
覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。
检测效率高:最快可在2小时内完成移动应用客户端、通信管道、后台服务端安全检测。
测试环境灵活:可在内网、外网开展移动应用安全检测。
测试/分析分离:测试人员根据安测宝的测试指引进行测试,检测平台根据测试的结果自动进行APP的安全性分析。分工合理、明确、高效。
灰盒产品:智能交互式安全检测系统(SISS)
智能交互式安全检测系统(SISS)是我司结合WEB安全领域多年的专注研究和技术积累,采用智能交互网络捕获技术、漏洞智能识别技术、漏洞动态验证技术、主动探寻服务端漏洞、无损扫描等技术,实现对Web应用开发全生命周期进行安全测试。有效减低安全检测成本,能够高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,减小受攻击面,保障业务系统安全。
系统具有以下优势特点:
功能:
主动扫描探测:系统支持获取监听的HTTP(S)的流量,从流量中自动提取资产列表,并利用深度URL去重模块进行URL分类和去重,以供后续漏洞扫描引擎模块使用。
Web漏洞扫描:系统能够快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性。
业务安全测试:支持检测水平越权、垂直越权、登录接口安全、验证码安全等,针对不同场景支持定制化自动扫描,有效识别常见业务问题。
交互式测试:能够将测试过程中的所有请求进行全面监听和测试,确保覆盖业务功能点。
优势
无损安全扫描:系统采用了无损扫描技术,通过对支持的监测资产进行梳理和信息收集,系统可以实现远程,在不影响业务的前提下完成漏洞扫描。
精简高效的工具管理:弥补了在当前的网络环境下,各种工具繁杂,部分被挂马,缺乏工具的易用性、健壮性等方面缺陷,进行综合管理。
真正的静默式检测:部署搭建测试网络,相关测试人员只需通过浏览器登录被测系统即可参与安全测试,无需启动额外的程序、接口,简单便捷。
平台系列:
源代码安全管控系统
深圳海云安网络安全技术有限公司推出的源代码安全管控系统在应用软件生命周期安全管理基础之上,进一步扩展源代码、制品、组件安全管控和制品发布管理,帮助企业加强软件供应链关键环节的安全管控。通过源代码安全管控系统与SDL管理功能模块融合,弥补SDL注重开发环节安全检测和流程管理,缺乏源代码、制品、组件统一、唯一可信管控,实现对应用系统整个生命周期过程中的投入工作量、输出成果、项目进度、安全状况等内容进行集中管控,实现应用系统安全生命周期一站化管理、软件供应链关键环节安全可信。
源代码安全管控系统结合人员管理、制度流程、技术手段,在应用系统建设全生命周期进行安全任务植入,提供4个管理功能:应用系统开发生命周期安全管理、应用系统运营生命周期管理、应用系统CI/CD服务管理、应用系统等级保护管理;集成CI/CD服务和安全检测工具链;构建完善应用安全知识库。
源代码安全管控系统优化现有开发全过程管理办法,如安全需求规范、安全编码规范、安全验收与发布规范等;建设源代码仓库、制品库、组件库三个仓库,通过系统落实开发全过程管理办法所要求的管控;
对开源组件进行持续分析管控,利用开源组件标准库进行软件供应链安全管理确保入库组件来源可信;入库组件进行安全检测,保障组件使用可信;不在库里的组件,开发方通过安全检测流程引进,严防带入高风险漏洞,做到过程可信;并且持续跟踪组件相关漏洞情报,及时通报、修正最新漏洞,实现全生命周期可信;
通过安全开发IDE插件,实现开发人员源代码访问代理,实时代码质量检测、代码安全审计、统计分析功能、提交检测和查看报告功能;
通过RASP应用安全防护工具,拦截从应用程序到系统的所有调用,实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御;
对开发团队安全开发能力进行成熟度评估,逐步要求不同安全等级的系统须由对应安全开发能力的团队进行开发。
如若转载,请注明原文地址