開源軟件的應(yīng)用非常廣泛��,在金融��、運營商����、電力、航空、汽車等行業(yè)用戶的信息系統(tǒng)底層架構(gòu)中�,均有開源軟件的影子。開源軟件之間的依賴和調(diào)用關(guān)系非常復(fù)雜����,其漏洞的放大作用非常顯著���,黑客利用開源軟件已知漏洞實施攻擊的事例屢見不鮮���,近年來Struts2、OpenSSL等開源軟件頻繁爆出高危漏洞����,給行業(yè)客戶帶來了廣泛的影響。
針對開源軟件應(yīng)用的現(xiàn)狀���,奇安信全新發(fā)布了開源衛(wèi)士產(chǎn)品�。該產(chǎn)品是一款集開源軟件識別和安全管控于一體的軟件成分分析系統(tǒng)�����,通過云端分析中心在全球范圍內(nèi)獲取開源軟件信息和漏洞情報��,利用自主研發(fā)的開源軟件分析引擎為用戶提供開源軟件識別���、開源軟件漏洞分析及開源軟件漏洞情報獲取等功能���,幫助行業(yè)用戶掌握信息系統(tǒng)中的開源組件資產(chǎn)和漏洞情報���,降低由開源軟件帶來的安全風險,保障交付更安全的軟件���。
隨著軟件開發(fā)過程中開源軟件的使用越來越多����,開源軟件事實上已經(jīng)成為了軟件開發(fā)的核心基礎(chǔ)設(shè)施����,開源軟件的安全問題應(yīng)該上升到基礎(chǔ)設(shè)施安全的高度來對待。而當前的現(xiàn)實情況是�����,用戶在軟件開發(fā)過程中面臨著三大開源軟件安全難題:不清楚在開發(fā)過程中使用了哪些開源軟件����,不清楚使用的開源軟件中存在哪些安全風險,當有開源軟件出現(xiàn)新的漏洞時也不清楚是否會影響到正在運行的信息系統(tǒng)。
這些困難給信息系統(tǒng)的安全風險管控帶來了極大的挑戰(zhàn)���,開源衛(wèi)士幫助行業(yè)用戶破解三大開源安全難題:
讓用戶“看見”信息系統(tǒng)中包含了哪些開源軟件
軟件開發(fā)過程中會引入大量開源軟件�����,但用戶的安全管理者或者開發(fā)管理者常常不清楚自身的信息系統(tǒng)中到底引入了多少開源軟件���,引入了哪些開源軟件�����。奇安信開源衛(wèi)士可以識別軟件系統(tǒng)中包含了哪些開源軟件以及開源軟件之間的關(guān)聯(lián)關(guān)系��,形成開源軟件可視化清單��。
讓用戶“知道”使用的開源軟件中存在哪些安全風險
軟件中使用的開源軟件可能會存在已知安全漏洞���,且這些開源軟件背后調(diào)用或依賴的其他開源軟件也可能會存在安全漏洞�,這種深層關(guān)聯(lián)下的開源軟件漏洞很難通過漏洞掃描工具發(fā)現(xiàn)����。奇安信開源衛(wèi)士通過軟件成分分析技術(shù)可以發(fā)現(xiàn)這些隱藏在開源軟件背后的深層次安全漏洞,讓用戶清楚“知道”信息系統(tǒng)中存在多少已知安全漏洞。
讓用戶“掌握”最新開源軟件漏洞情報
用戶從海量網(wǎng)絡(luò)安全情報信息中���,獲取影響企業(yè)自身的開源軟件漏洞信息��,成本高��、難度大����。奇安信開源衛(wèi)士在云端監(jiān)控眾多開源軟件漏洞情報來源�,通過清洗、匹配���、關(guān)聯(lián)等一系列自動化數(shù)據(jù)分析處理后�����,向用戶及時推送開源軟件漏洞信息��,讓用戶及時獲取到影響其自身安全的最新開源軟件漏洞情報����。
奇安信開源衛(wèi)士是國內(nèi)首個成熟的商用軟件成分分析系統(tǒng)��,在多年技術(shù)積累基礎(chǔ)上,通過開源組件成分分析�����、依賴分析��、特征分析��、引用識別等多種技術(shù)組合能夠精確識別軟件中的開源組件信息���,技術(shù)完全自主創(chuàng)新���。同時�����,奇安信開源衛(wèi)士團隊還運營著國內(nèi)規(guī)模最大的“開源項目檢測計劃”���,收集了3000多萬個開源項目的版本信息�����,積累了大量的開源軟件基礎(chǔ)數(shù)據(jù)�。奇安信開源衛(wèi)士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD),能夠滿足行業(yè)用戶相應(yīng)的監(jiān)管要求����。
此外,用戶使用的開源軟件有時不能通過升級軟件版本進行漏洞修復(fù)���。奇安信開源衛(wèi)士依托奇安信代碼安全實驗室專業(yè)的漏洞研究能力�����,可以為用戶提供開源軟件漏洞危害評級�、漏洞補丁分析��、漏洞補丁方案等高端漏洞修復(fù)咨詢服務(wù)���。
京公網(wǎng)安備 11010502041587號