開源軟件的應(yīng)用非常廣泛�����,在金融����、運營商、電力�����、航空�����、汽車等行業(yè)用戶的信息系統(tǒng)底層架構(gòu)中���,均有開源軟件的影子�����。開源軟件之間的依賴和調(diào)用關(guān)系非常復雜�,其漏洞的放大作用非常顯著���,黑客利用開源軟件已知漏洞實施攻擊的事例屢見不鮮���,近年來Struts2���、OpenSSL等開源軟件頻繁爆出高危漏洞,給行業(yè)客戶帶來了廣泛的影響��。
針對開源軟件應(yīng)用的現(xiàn)狀�����,奇安信全新發(fā)布了開源衛(wèi)士產(chǎn)品��。該產(chǎn)品是一款集開源軟件識別和安全管控于一體的軟件成分分析系統(tǒng)�,通過云端分析中心在全球范圍內(nèi)獲取開源軟件信息和漏洞情報,利用自主研發(fā)的開源軟件分析引擎為用戶提供開源軟件識別�、開源軟件漏洞分析及開源軟件漏洞情報獲取等功能,幫助行業(yè)用戶掌握信息系統(tǒng)中的開源組件資產(chǎn)和漏洞情報����,降低由開源軟件帶來的安全風險,保障交付更安全的軟件��。
隨著軟件開發(fā)過程中開源軟件的使用越來越多�����,開源軟件事實上已經(jīng)成為了軟件開發(fā)的核心基礎(chǔ)設(shè)施,開源軟件的安全問題應(yīng)該上升到基礎(chǔ)設(shè)施安全的高度來對待����。而當前的現(xiàn)實情況是,用戶在軟件開發(fā)過程中面臨著三大開源軟件安全難題:不清楚在開發(fā)過程中使用了哪些開源軟件�����,不清楚使用的開源軟件中存在哪些安全風險���,當有開源軟件出現(xiàn)新的漏洞時也不清楚是否會影響到正在運行的信息系統(tǒng)。
這些困難給信息系統(tǒng)的安全風險管控帶來了極大的挑戰(zhàn)�,開源衛(wèi)士幫助行業(yè)用戶破解三大開源安全難題:
讓用戶“看見”信息系統(tǒng)中包含了哪些開源軟件
軟件開發(fā)過程中會引入大量開源軟件,但用戶的安全管理者或者開發(fā)管理者常常不清楚自身的信息系統(tǒng)中到底引入了多少開源軟件��,引入了哪些開源軟件���。奇安信開源衛(wèi)士可以識別軟件系統(tǒng)中包含了哪些開源軟件以及開源軟件之間的關(guān)聯(lián)關(guān)系��,形成開源軟件可視化清單��。
讓用戶“知道”使用的開源軟件中存在哪些安全風險
軟件中使用的開源軟件可能會存在已知安全漏洞�����,且這些開源軟件背后調(diào)用或依賴的其他開源軟件也可能會存在安全漏洞����,這種深層關(guān)聯(lián)下的開源軟件漏洞很難通過漏洞掃描工具發(fā)現(xiàn)。奇安信開源衛(wèi)士通過軟件成分分析技術(shù)可以發(fā)現(xiàn)這些隱藏在開源軟件背后的深層次安全漏洞����,讓用戶清楚“知道”信息系統(tǒng)中存在多少已知安全漏洞。
讓用戶“掌握”最新開源軟件漏洞情報
用戶從海量網(wǎng)絡(luò)安全情報信息中����,獲取影響企業(yè)自身的開源軟件漏洞信息,成本高�、難度大。奇安信開源衛(wèi)士在云端監(jiān)控眾多開源軟件漏洞情報來源�����,通過清洗���、匹配�����、關(guān)聯(lián)等一系列自動化數(shù)據(jù)分析處理后����,向用戶及時推送開源軟件漏洞信息,讓用戶及時獲取到影響其自身安全的最新開源軟件漏洞情報����。
奇安信開源衛(wèi)士是國內(nèi)首個成熟的商用軟件成分分析系統(tǒng),在多年技術(shù)積累基礎(chǔ)上����,通過開源組件成分分析����、依賴分析、特征分析���、引用識別等多種技術(shù)組合能夠精確識別軟件中的開源組件信息�,技術(shù)完全自主創(chuàng)新����。同時,奇安信開源衛(wèi)士團隊還運營著國內(nèi)規(guī)模最大的“開源項目檢測計劃”���,收集了3000多萬個開源項目的版本信息�����,積累了大量的開源軟件基礎(chǔ)數(shù)據(jù)����。奇安信開源衛(wèi)士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD),能夠滿足行業(yè)用戶相應(yīng)的監(jiān)管要求����。
此外,用戶使用的開源軟件有時不能通過升級軟件版本進行漏洞修復����。奇安信開源衛(wèi)士依托奇安信代碼安全實驗室專業(yè)的漏洞研究能力,可以為用戶提供開源軟件漏洞危害評級����、漏洞補丁分析、漏洞補丁方案等高端漏洞修復咨詢服務(wù)����。
京公網(wǎng)安備 11010502041587號