信通院全景圖發佈 比瓴科技領跑軟體供應鏈安全，多領域覆蓋數字安全服務

近日,中國資訊通信研究院在2024全球數字經濟大會—數字安全生態建設專題論壇正式發佈首期《數字安全護航技術能力全景圖》(以下簡稱全景圖)。

比瓴科技入選軟體供應鏈安全賽道“開發流程安全管控、互動式安全測試、靜態安全測試、軟體成分分析”,並位居DevSecOps領域第一;覆蓋數字安全服務賽道“安全意識與培訓、滲透測試/眾測、攻防演練、安全諮詢與規劃”。

中國資訊通信研究院(以下簡稱信通院)“數字安全護航計劃”為助推中國數字經濟高品質發展,助力數字中國建設提供有力支援,發起了全景圖的徵集工作。比瓴此次入選雙賽道,代表了信通院對比瓴安全産品和安全服務在數字經濟市場發展中能力成熟度、技術創新和行業貢獻的認可。比瓴願加入“數字安全護航計劃”,攜手信通院一起為數字安全貢獻力量,為數字經濟的發展保駕護航。

開發安全運營一體化解決方案(DevSecOps)

當今軟體開發的節奏日益加快,但安全與效率並非不可兼顧。比瓴科技DevsecOps諮詢服務致力於將安全與效率結合,幫助組織在實現軟體産品快速交付的同時,確保軟體安全性。

威脅識別

通過不斷更新和擴展的資源庫,幫助項目組積極地識別和防範潛在的安全威脅,通過智慧化的內容整合和易於搜索的界面,快速獲取所需的安全資訊,有效地提高開發過程的安全性和合規性。

態勢管理

與SCA、SAST、IAST等開發工具鏈無縫整合,與Git、Jenkins等開發工具鏈無縫整合,持續識別安全風險,對風險進行量化和優先級排序,提升安全活動的自動化水準,幫助組織有效分配資源,處理最嚴重的安全問題。

持續優化

建立安全體系並不斷地改善和優化,在不犧牲開發速度的前提下,提高應用的安全性,減少未來安全事件的發生。

瓴鏡—軟體成分分析系統(SCA)

瓴鏡SCA系統支撐檢測評估業務場景,通過智慧化數據收集引擎在全球範圍內獲取開源軟體資訊及其相關漏洞資訊,利用自主研發的開源軟體分析引擎為企業提供開源軟體資産識別、開源軟體安全風險分析、開源軟體漏洞告警及開源軟體安全管理等功能,幫助用戶掌握開源軟體資産資訊,及時獲取開源軟體漏洞情報,降低由開源軟體帶來的安全風險,保障企業交付更安全的軟體。

基於包管理器的軟體成分分析技術

開源軟體識別與分析技術:瓴鏡SCA通過高自動化和高準確性的文件特徵提取機模擬構建分析引擎,快速生成全面且準確的組件清單,並分析各組件的漏洞風險及許可證風險。

基於多鏈路的組件依賴分析技術

瓴鏡SCA基於多鏈路的組件依賴分析技術,結合擬構建和開源數據核驗,以圖形化展示提供清晰直觀的組件依賴關係圖。

漏洞可達性分析技術

瓴鏡SCA結合AST資訊提取和開源組件知識庫,精確分析函數調用鏈和位置,憑藉在攻防演練中積累的漏洞利用規則庫,能夠清晰準確地判斷組件的真實調用情況和漏洞的可達性。

基於AI的憑證檢測技術

瓴鏡SCA通過靜態匹配規則、熵字符串檢索和機器學習演算法,綜合檢測應用程式中的敏感數據,有效識別和保護顯式及隱式存儲的憑證資訊,以防止數據洩露。

瓴域—安全開發管理系統(SDLM)

安全開發管理系統,旨在為客戶提供統一的安全開發全生命週期管理服務,幫助客戶建立起高效敏捷的開發安全管控體系。平臺打通項目和應用系統各階段(立項、設計、開發、上線/變更、運作)中安全管控及安全檢測節點,進行安全開發全流程整合,從而實現安全開發管控全流程工作效率可看見、可管理、可提升;同時平臺利用收集到開發過程中的執行數據,形成項目安全畫像及應用安全畫像,從各種維度綜合展現項目及應用安全開發態勢,為安全運營提供數據支援。

瓴鏡—源代碼安全審計系統(SAST)

瓴鏡-源代碼安全審計系統是採用領先的源代碼靜態分析技術開發的一款針對源代碼缺陷進行靜態分析檢測的産品。它在對目標軟體代碼進行語法、語義分析的技術上,輔以數據流分析、控制流分析和特有的缺陷分析演算法等高級靜態分析手段,能夠高效的檢測出軟體源代碼中的可能導致嚴重缺陷漏洞和系統運作異常的安全問題和程式缺陷,並準確定位告警,從而有效的幫助開發人員消除代碼中的缺陷、減少不必要的軟體補丁升級,為軟體的資訊安全保駕護航。

瓴鏡—互動式應用安全檢測系統(IAST)

瓴鏡互動式應用安全檢測系統在應用上線前必不可少的安全工具,專門用於發現潛在的安全風險。其最大的特點在於採用了一種獨特的“被動插樁模式”,這意味著它不會對正在運作的系統或應用程式産生任何干擾或産生不必要的數據。用戶在使用時,只需通過簡潔的管理界面進行項目配置,系統便會自動開始對應用程式的數據流進行分析。這種分析是實時的,能夠在應用程式運作時捕捉到任何可疑行為或漏洞。一旦檢測到潛在的安全漏洞,系統會立即向用戶發出警報,併為用戶提供詳細的漏洞資訊和解決方案。

對於開發團隊來説,這個工具不僅僅是發現漏洞,更是修復漏洞的利器。系統會提供一個已驗證的漏洞列表,這些漏洞都是經過系統嚴格檢測並確認存在的。開發人員可以根據這個列表,實時修復代碼中的問題,確保應用程式的安全性。

安全培訓服務

安全培訓服務面向開發人員、測試人員和管理人員等角色,幫助他們了解應用安全的基本原則、最佳實踐和常見威脅,提高整體安全意識和技能水準。

滲透測試服務

滲透測試服務通過模擬真實攻擊者的攻擊行為,發現應用程式中存在的安全漏洞和弱點,幫助組織識別和修復潛在的安全風險,加強應用程式抵禦惡意攻擊的能力。

攻防演練及紫隊服務

攻防演練及紫隊服務通過模擬實戰攻擊和防守的方式,發現組織存在的管理、技術方面的安全問題,提高組織整體安全建設水準。

安全開發成熟度評估諮詢

安全開發成熟度評估諮詢服務幫助組織客觀評估安全開發成熟度水準,通過量化數據了解安全開發現狀以及對應的成熟度水準,為補齊安全開發短板和成熟度提升做好準備。

安全開發成熟度提升諮詢

安全開發成熟度提升諮詢服務幫助組織提升安全開發成熟度水準,確保開發過程落實安全控制措施,降低安全風險,提高軟體品質。

APP安全認證諮詢

比瓴科技根據GB/T 35273《資訊安全技術個人資訊安全規範》幫助組織提升自身能力,通過中國網路安全審查認證和市場監管大數據中心(CCRC)的移動網際網路應用程式(App)安全認證。

DevSecOps認證諮詢

比瓴科技根據YDT 3763.6-2021《研發運營一體化(DevOps)能力成熟度模型第6部分:安全及風險管理》(DevSecOps)幫助組織提升自身能力,通過中國資訊通信研究院的DevSecOps能力成熟度評估。

比瓴科技專注于軟體供應鏈安全領域,以AI和數據為核心提供覆蓋全場景的軟體供應鏈安全産品和安全諮詢服務。打通應用安全數據孤島,實現安全運營過程自動化,增強應用軟體資産風險可視性,為軟體安全保駕護航。

“詳細內容見官網:比瓴科技”。