近年来,针对关键信息基础设施供应链的攻击频发,对供应链生态造成不良影响。为贯彻《网络安全法》和《关键信息基础设施安全保护要求》,加强供应链安全管理,公安部第三研究所网络安全等级保护中心(以下简称:等保中心)牵头研究编制了《软件产品供应链安全技术规范》。该规范主要从供应链检测手段和产品安全角度考虑,涵盖代码、制品、组件、数据、功能、配置和开发过程安全等七个方面。为满足社会各界对验证供应链安全能力的需求,持续提升各关键信息基础设施单位供应链安全保护能力,等保中心于2024年3月正式启动供应链产品安全检测评估工作。
日前,悬镜源鉴SCA开源威胁管控平台首家通过网络安全等级保护与安全保卫技术国家工程研究中心(以下简称:国家工程研究中心)与公安部第三研究所网络安全等级保护中心《软件成分分析系统技术规范》检测评估,荣获供应链安全检测证书工具类-增强级(证书编号CSPEC-GGJ2401001)认证证书;悬镜灵脉SAST白盒代码审计平台首家通过《静态应用安全测试系统技术规范》检测评估,荣获供应链安全检测证书工具类-增强级(证书编号CSPEC-GGJ2403001)认证证书,在诸多参与认证的企业产品中,源鉴SCA、灵脉SAST双双成为第一批评估检测中首家通过“增强级”能力评估的数字供应链安全产品。
图1:源鉴SCA供应链安全检测证书工具类-增强级认证证书
图2:灵脉SAST供应链安全检测证书工具类-增强级认证证书
《软件成分分析系统技术规范》
能力评估介绍
此次测评基于《软件成分分析系统技术规范》,从安全功能要求、自身安全要求、环境适应性要求、安全保障要求四大维度出发,围绕软件物料清单管理、软件成分风险分析、数据安全、通信安全等核心能力指标展开检测。
日前,国家工程研究中心与等保中心通过对第一批SCA进行了检测评估,通过SCA检测评估工作,衡量了各种检测系统的检测能力,规范了检测系统的检测功能,提升了软件成分分析系统市场的整体水平。
本次源鉴SCA开源威胁管控平台成为第一批首家成功通过《软件成分分析系统技术规范》检测评估,并赋予增强级能力认证的产品,标志着源鉴SCA在软件成分识别、漏洞风险分析、投毒风险分析、开源许可合规风险分析、供应链连续性分析、集成配置、自身安全、安全保障等核心能力上,全面符合由国家工程研究中心与等保中心牵头编制的《软件成分分析系统技术规范》标准,在当前同类产品中处于领先地位。
悬镜安全源鉴SCA开源威胁管控平台
闭环治理开源威胁
悬镜安全源鉴SCA开源威胁管控平台是全球首款基于多引擎数字供应链安全产品,源鉴SCA深度融合悬镜首创的代码疫苗技术,是国内首款集成组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎和供应链安全情报预警能力于一体的多模SCA开源治理平台,帮助企业从引入源头、开发过程、运行监控、管理等多维度闭环治理开源威胁。
悬镜安全源鉴SCA开源威胁管控平台允许在整个软件供应链中对开源使用进行安全风险管理,从而使安全团队和开发人员能够进行:
全面接入数字供应链情报:源鉴SCA深度集成实时更新的供应链情报,并与用户SBOM资产智能匹配关联,提供独家的应急指南和临时缓解方案,让企业能够更快地响应突发的供应链安全事件,减少暴露时间。
开源组件风险分析:自动梳理公司组件资产,可视化展示依赖关系并关联组件漏洞影响范围,实时跟踪预警、及时回溯,为解决组件风险快速提供依据。
高效的风险处置流程:可无感接入企业原有DevOps流程,持续自动获取应用组件数据,治理存量和增量组件存在的风险,并将检测结果提交至企业BUG管理体系中,方便开发人员高效处置。
完善的闭环修复方案:结合漏洞修复优先级提供详细的漏洞修复过程,同时通过计算,给出一次性修复最多问题的组件级别推荐修复版本,提高开发团队的作业效率。
赋能信创生态:支撑与国产主流信创环境的兼容适配,并提供一键数字应用供应链安全审查服务,确保信创应用快速符合相关监管要求。
基于深厚的技术实力和产品应用实践,悬镜源鉴SCA连续多次被Gartner、 Forrester等国际权威咨询机构评为SCA技术代表厂商;OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。
《静态应用安全测试系统技术规范》
能力评估介绍
测评主要从供应链检测手段和产品安全的角度进行考虑,包括代码、制品、组件、数据、功能、配置和开发过程安全等七个方面进行全面评估。
本次悬镜灵脉SAST白盒代码审计平台成为第一批首位通过国家工程研究中心与等保中心《静态应用安全测试系统技术规范》检测评估,并赋予增强级能力认证的产品,意味着悬镜重点关注、持续投入的SAST白盒代码审计能力达到国家工程研究中心与等保中心《静态应用安全测试系统技术规范》评估要求,达到国内领先水平。
悬镜灵脉SAST白盒代码审计平台
从编码源头解决安全风险
灵脉SAST是基于AI多引擎驱动的新一代智能代码审计平台,提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力,帮助企业从编码源头解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。
产品价值
三个方面
1
全新接入AI大模型智能算法,基于RAG及LLM编排技术,快速精确地匹配并提供最适合当前代码上下文的修复方案及修复建议,实现AI智能修复。
2
深度融合SCA软件成分分析能力,并支持组件洞可达性分析,提供数字供应链安全审查并实现供应链安全能力支撑。
3
联动XSBOM数字供应链安全情报能力,可实时精准个性化推送漏洞风险、投毒事件、许可证风险、断供风险等安全事件信息,帮助企业和用户及时应对数字供应链安全风险。
凭借突出的能力优势,灵脉SAST在2023年入选国际权威咨询机构Forrester发布的《The Static Application Security Testing Landscape》报告,成为了全球范围内仅有的两款亚太区SAST代表产品之一。
截至目前,悬镜安全“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系已创新赋能于金融、车联网、能源、通信、政企、智能制造和泛互联网等数千家行业用户,全栈产品连续四年市场应用率第一。悬镜安全将持续聚焦DevSecOps数字供应链安全领域,敏捷迭代、实践创新,帮助用户构建安全、高效、智能的企业数字应用,守护中国数字供应链安全。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队“XMIRROR”,作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。