近日,國(guó)際權(quán)威咨詢(xún)機(jī)構(gòu)Forrester發(fā)布了《軟件成分分析格局,2024年第二季度(Software Composition Analysis Landscape, Q2 2024)》報(bào)告,報(bào)告概述了21家軟件構(gòu)成分析廠商的不同領(lǐng)域、地域側(cè)重點(diǎn),騰訊云憑借在軟件成分分析領(lǐng)域的技術(shù)探索與能力沉淀,入選該報(bào)告著名廠商名單。
在報(bào)告中,F(xiàn)orrester 將 SCA(軟件成分分析,Software Composition Analysis)定義為在不執(zhí)行應(yīng)用程序的情況下對(duì)其進(jìn)行掃描,以生成所有開(kāi)源和第三方組件清單的產(chǎn)品。這種掃描可用于識(shí)別漏洞、許可風(fēng)險(xiǎn)、沖突和不合規(guī)使用,指導(dǎo)用戶(hù)在何處以及如何補(bǔ)救這些缺陷,幫助用戶(hù)在將健康安全的組件納入應(yīng)用程序之前進(jìn)行選擇,并創(chuàng)建清單記錄。
Forrester 表示,在選擇 SCA 供應(yīng)商時(shí),必須考慮供應(yīng)商的規(guī)模、產(chǎn)品類(lèi)型、能力以及地域和用例差異,以確保所選工具滿(mǎn)足企業(yè)的特定需求。通過(guò)利用相關(guān)報(bào)告,深入了解不同供應(yīng)商的價(jià)值和差異及其規(guī)模和市場(chǎng)重點(diǎn),可以更有效地管理軟件供應(yīng)鏈,降低風(fēng)險(xiǎn),確保軟件產(chǎn)品的安全性和合規(guī)性。
科恩實(shí)驗(yàn)室基于多年開(kāi)發(fā)安全能力,推出以源碼/二進(jìn)制軟件成分分析為核心的檢測(cè)平臺(tái) BSCA(https://cloud.tencent.com/product/bsca),幫助用戶(hù)建立開(kāi)發(fā)安全體系,輸出軟件物料清單,解決供應(yīng)鏈安全及開(kāi)源合規(guī)問(wèn)題。
騰訊云SCA產(chǎn)品包含源代碼組件成分分析引擎、二進(jìn)制制品成分分析引擎,支持 20+文件格式,包括各類(lèi)二進(jìn)制固件包、鏡像、壓縮文件等。支持 Linux、Android、QNX、RTOS 等系統(tǒng),支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架構(gòu),專(zhuān)注于解決企業(yè)內(nèi)引入的開(kāi)源軟件及軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)問(wèn)題,全面適應(yīng)企業(yè)軟件開(kāi)發(fā)運(yùn)維的各類(lèi)場(chǎng)景。
與傳統(tǒng)SCA工具相比,騰訊云SCA工具最大的優(yōu)勢(shì)有兩點(diǎn):一、多年的二進(jìn)制固件分析經(jīng)驗(yàn),國(guó)內(nèi)外的各類(lèi)安全獎(jiǎng)項(xiàng);二、多行業(yè)、多場(chǎng)景的用戶(hù)需求的積累,與國(guó)內(nèi)標(biāo)桿合規(guī)檢測(cè)機(jī)構(gòu)合作。
同時(shí),在二進(jìn)制安全智能分析平臺(tái)BinaryAI(https://www.binaryai.cn)核心能力加持下,騰訊云SCA工具的特色在于其智能分析引擎可支持軟件成分分析和惡意軟件分析,對(duì)用戶(hù)上傳的二進(jìn)制文件,BinaryAI可以在GitHub全量C/C++庫(kù)范圍中做相似性檢索,以業(yè)界領(lǐng)先的識(shí)別準(zhǔn)確率匹配到文件所使用的開(kāi)源組件。SCA產(chǎn)品在本地鏡像漏洞掃描(Docker Image Scan)方面是采取以下策略:
首先,工具能夠識(shí)別容器鏡像中的安全漏洞,并提供修復(fù)建議,同時(shí)識(shí)別依賴(lài)組件的許可證類(lèi)型,評(píng)估合規(guī)風(fēng)險(xiǎn)。此外,SCA工具生成詳盡的軟件物料清單(SBOM),清晰展示組件間的依賴(lài)關(guān)系,為軟件供應(yīng)鏈的安全管理提供數(shù)據(jù)支持,并進(jìn)行全面的安全審計(jì),檢測(cè)基線風(fēng)險(xiǎn)和敏感數(shù)據(jù)泄露等問(wèn)題。
在掃描時(shí)機(jī)上,SCA工具能夠抓住以下關(guān)鍵節(jié)點(diǎn)進(jìn)行操作:開(kāi)發(fā)人員在編譯得到鏡像文件后立即進(jìn)行安全檢測(cè),確保問(wèn)題能在早期被發(fā)現(xiàn)和解決;與制品庫(kù)或鏡像倉(cāng)庫(kù)對(duì)接,對(duì)所有入庫(kù)鏡像進(jìn)行全量掃描;與CI流水線集成,實(shí)現(xiàn)代碼提交或構(gòu)建過(guò)程中的自動(dòng)觸發(fā)掃描任務(wù);以及在軟件供應(yīng)商提供鏡像文件時(shí),進(jìn)行風(fēng)險(xiǎn)檢查并生成SBOM。
通過(guò)這些全面且高效的策略和時(shí)機(jī)的合理安排,SCA工具不僅提高了開(kāi)發(fā)效率,還確保了鏡像的安全性和合規(guī)性,為軟件開(kāi)發(fā)和部署提供了堅(jiān)實(shí)的安全保障。
事實(shí)上,軟件供應(yīng)鏈安全不僅是技術(shù)層面的問(wèn)題,它包括軟件供應(yīng)鏈上軟件設(shè)計(jì)與開(kāi)發(fā)的各個(gè)階段中來(lái)自本身的編碼過(guò)程、工具、設(shè)備或供應(yīng)鏈上游的代碼、模塊和服務(wù)的安全,以及軟件交付渠道和使用安全的總和。正如Forrester指出的那樣,SCA是任何保護(hù)軟件供應(yīng)鏈的安全計(jì)劃的基礎(chǔ)部分,但僅靠SCA是不夠的。
科恩實(shí)驗(yàn)室提供了全面的解決方案來(lái)應(yīng)對(duì)供應(yīng)鏈安全的各種場(chǎng)景。首先,科恩安全審計(jì)套件通過(guò)深入的軟件組件來(lái)源分析和簽名驗(yàn)證,確保供應(yīng)鏈中的組件和代碼未被篡改或包含惡意軟件來(lái)防御軟件供應(yīng)鏈攻擊。
其次,科恩的第三方風(fēng)險(xiǎn)管理功能通過(guò)評(píng)估和監(jiān)控第三方服務(wù)和組件的安全性與合規(guī)性,包括定期的安全評(píng)估和合規(guī)性審查,以減少供應(yīng)鏈帶來(lái)的風(fēng)險(xiǎn)?贫靼踩珜徲(jì)套件擁有億級(jí)別的組件知識(shí)庫(kù),為軟件資產(chǎn)中的風(fēng)險(xiǎn)提供專(zhuān)業(yè)的修復(fù)建議。
軟件供應(yīng)鏈安全市場(chǎng)在蓬勃發(fā)展的同時(shí),也逐步趨于復(fù)雜化和多樣化,面對(duì)愈演愈烈的開(kāi)源安全境況以及更復(fù)雜的安全威脅,騰訊安全科恩實(shí)驗(yàn)室基于大模型研發(fā)將持續(xù)不斷調(diào)整解決方案,采用更加全面的軟件供應(yīng)鏈安全策略,覆蓋更多軟件形態(tài)和開(kāi)發(fā)語(yǔ)言。未來(lái),騰訊安全也將攜手產(chǎn)業(yè)生態(tài)伙伴,共筑軟件供應(yīng)鏈安全生態(tài)。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開(kāi)“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶(hù)就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性?xún)r(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專(zhuān)題論壇在沈陽(yáng)成功舉辦。