Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

企业如何确保开源软件的安全 从漏洞说起




       企业如何落地软件构成分析,企业级的SCA通常有以下几个问题:缺乏对开放源码组件控制

的统一规划和管理体系;无法确定独立开发或外包的软件系统中使用的开源组件;无法了解这些

开放源码组件目前的安全性;无专人专岗,与软件开发团队、安全保障团队的工作关系也不清楚

 
 
在此基础上,国家安全部研发了一款工业软件成分分析工具SmartRocketScanner,它通过用户

所上传的二进制文件或源码的连接,检索其中使用的开放源码文件,并与国内外数据库进行比对

,发现文件中存在的安全漏洞和许可证隐患等问题,并提供相应的信息和修复建议。该工具在C/

C++等代码分析方面具有显著优势,是国内第一个用双引擎模式分析源代码和二进制文件的漏洞

扫描工具,可以支持包括C/C++在内的10多种主流编程语言。
 
 
特征函数用于快速分析软件的开源库,能够彻底扫描每个源代码或二进制文件。通过与CVE漏洞

库进行对比,对开放源码库进行漏洞检测,并给出相应报告。对开放源码库的许可合规进行分析

,发现潜在的许可隐患。通过对漏洞网络的分析,可以了解和追踪漏洞源,减少安全管理的复杂

性。商品优势,综合编程语言支持。对10+语言的支持(C,C++,Python,Java,JavaScript,PHP等)

对不同格式的20+文件(.apk,.jar,.exe,.arm等)的支持,失误率低,错判率小于7%,JavaScript、

Python等Java语言的误判率可能不到2%
 
 
 
高效的研发团队;数据库信息的及时更新,用户反馈的处理,使使用体验更加完美。配置多样化

。可供使用的软件(SaaS)和内部设置(OnPremise)部署模式得到支持。向安全管理人员建议。在

Gartner报告中,给了经理们一些关于应用程序和数据安全的建议:每一个程序都应该有一份不

断构建的详细软件材料清单,这样就可以全面地了解和验证每个应用软件的组件是否可用。开

发策略以确定可接受的开放源码组件,合理地响应在代码中发现的漏洞或受限软件许可,以管

理风险。
 
 
 
加强软件供应链,检查内部和外部源代码,支持脚本,概要文件和其他构件,并为可信的开放

源码组件创建内部仓库,同时合理地管理外部仓库的使用以减少安全风险。不仅仅是考虑安全

漏洞和授权许可的问题,其他方面也需要全面考虑软件的使用。
分享: