全自动玻璃磨边机

    安全419编辑推荐 软件供应链安全 IASTSCARASP三件套正成为标配

    来源:全自动玻璃磨边机    发布时间:2023-11-27 12:54:58

    原标题:安全419编辑推荐 软件供应链安全 IAST/SCA/RASP三件套正成为标配

  原标题:安全419编辑推荐 软件供应链安全 IAST/SCA/RASP三件套正成为标配

  近年来,里程碑式的软件供应链安全事件层出不穷,其所制造的危害程度愈加严重。随着开源组件的不断增多,大量的第三方开源组件被放到软件中,导致软件供应链慢慢的变复杂,安全风险也前所未有地严峻。

  尤其在Log4Shell漏洞和SolarWinds Orion供应链攻击事件的逐步推动下,软件供应链安全治理与运营以及DevSecOps敏捷安全体系落地的理念得以深入人心,提高对数字化应用安全性的重视已成为行业共识。

  尤其在云原生场景下,随着数字化业务转型得加速,海量的toC场景涌现出来,要求数字化应用快速上线、快速迭代。为降低软件的开发成本和周期,研发人员一定大量地采用第三方组件,避免大量“重复造轮子”的消耗。但这不可避免地就带来全新的安全风险,开源组件的引入在加快软件研发效率的同时,也将开源安全问题引入了整个软件供应链,开源治理慢慢的变成了企业用户重点关切的难题。

  2022年,数据泄露事件持续高发,针对软件供应链的安全攻击事件呈快速增长态势。据业内一份报告数据显示,2022年针对软件供应商的网络攻击同比增长146%,其中62%的数据泄露归因于供应链安全漏洞,供应链已成为网络罪犯主要的攻击媒介。

  为应对软件供应链严峻的安全形势,各国相继出台了相关的法律和法规与政策标准,以保障软件供应链安全。2021 年 4 月,美国网络安全与基础设施安全局(CISA)和美国国家标准与技术院(NIST)联合发布《防御软件供应链攻击》报告,首次对软件供应链进行界定,并给出与软件供应链攻击相关的信息、关联风险以及缓解措施。

  在严峻的网络安全环境下,我国对软件供应链安全也给予了高度的重视。2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术上的支持过程中的供应链安全风险作为重点审查内容,并推动开展了云计算服务网络安全审查。

  在 2020 年 4 月 27 日,国家互联网信息办公室等 12 个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能会影响国家安全的,应进行网络安全审查,此政策的发布代表已明确将软件供应链安全带入到国内大众的视野中。

  2022年11月7日,我国颁布了国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022),其中关于“软件供应链安全”部分,对网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理提出了明确要求。

  例如,提供者对网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理;对网络产品和服务研发、制作的完整过程中涉及的实体拥有或控制的已知技术专利等知识产权获得10年以上授权;应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告等。

  在国家战略层面,软件供应链的竞争与保障不仅关系到企业的生存与发展,而且变成全球各国相互制约和竞争的重要手段。一些西方国家通过实行严格的技术封锁,建立完善的出口管制法律体系,并将自己的软件、硬件和技术列入《进口管制清单》,导致国际软件供应链的竞争环境加剧,软件供应链的完整性面临严峻挑战。

  在国际竞争关系错综复杂、互联网空间安全对抗日益加剧的新形势下,竞争的战场已不再仅是企业之间的业务竞争,而是延伸到重要领域信息技术供应链之间的竞争。针对一个软件供应商发起的攻击,能够对下游大量的企业造成行业地震式影响,进而导致国家整体安全性的下降。

  2022年初,安全419推出《软件供应链安全解决方案》系列访谈,通过邀请相关安全厂商分享自身前沿观点、创新技术和最佳实践,希望为企业组织更好应对软件供应链面临的风险与挑战提供参考借鉴。

  在对多家业内主流软件开发安全领域厂商的走访调研过程中,安全419观察到,IAST、SCA、RASP的产品组合形式,慢慢的变成了当前开发安全领域应对应用安全风险的最主流方案。

  随着运行时智能插桩、应用威胁情境感知和API智能检测响应等关键技术的创新与突破,以IAST和RASP为核心的代码疫苗技术迎来了蓬勃发展期。尤其通过单探针的形式,代码疫苗技术不仅能在测试环境中实现应用风险检测以及API挖掘和覆盖分析,还能赋能数字化应用实现攻击威胁的出厂免疫以并提供运行时敏感数据追踪等关键能力,实现检测响应一体化,支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯及API威胁免疫等复杂应用场景。

  SCA软件成分分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。SCA可以生成完整的SBOM清单,分析研发人员所使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题,把这些安全风险排除在软件的发布上线之前,也适用于软件运行中的诊断分析。

  通过使用基于多源SCA开源应用安全缺陷检验测试技术的安全审查工具,可以精准识别应用开发过程中,软件研发人员有意或违规引用的开源第三方组件,并通过对应用组成做多元化的分析,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

  通过对多家安全厂商有关产品/解决方案与业务情况的走访调研,基于自身的理解,从技术创新、应用实践、客户评价、行业口碑等多重维度择优推荐其中有代表性的部分优秀厂商,最终推荐给各行业用户着重关注,为企业用户加强安全建设提供一定的参考。(以下推荐不涉及排名先后,按企业名称首字母排序)

  悬镜安全,DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以代码疫苗技术为内核,坚守PLG产品创新驱动价值增长的商业理念,通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续赋能从威胁建模、开源治理、风险发现、积极防御到安全度量等DevSecOps全流程的各关键环节,在DevSecOps、软件供应链安全、云原生安全三大典型应用场景下,持续帮助金融、泛互联网、车联网、人机一体化智能系统、能源及运营商等行业数千家标杆用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

  作为DevSecOps敏捷安全领域的头部厂商,悬镜安全通过第三代DevSecOps智适应管理体系,正持续帮助金融、车联网、泛互联网、能源等行业用户构筑起与自身相适配的内生积极防御体系。 “单探针”是悬镜安全的一大创新举措。悬镜将运行时应用风险检测技术IAST和运行时应用风险防御技术RASP通过单探针进行了深度整合。基于运行时的单探针,既能够在开发测试环节里通过IAST对应用安全风险进行仔细的检测,又能够在部署和运营环节通过RASP实现应用风险自免疫。 利用单探针的深层次地融合,代码疫苗技术不仅能在开发测试环节进行交互式的应用安全风险审查,还能发现数字化应用自身API的安全风险和缺陷,更有效地解决运行时API中敏感数据流动的追踪问题,基于动态插桩技术在应用内部梳理API相关的函数调用,最终实现API层面的安全防护。

  2、悬镜安全:DevSecOps竞争格局在于中外原创技术路线DevSecOps洞察报告》:SCA与RASP技术大热 开源软件供应链安全备受重视

  北京酷德啄木鸟信息技术有限公司专注于软件安全开发及软件供应链安全技术,自 2013 年起探寻用前所未有的创新与新一代信息技术,协助成就商业和社会进步得更多可能。多年来为近百家客户带去了敏捷开发的安全保障与服务。潜心商业发展历史,深入剖析不一样的行业高信息化、智能化带来的安全风险隐患,有明确的目的性地提出安全开发测试解决方案,酷德将静态代码分析技术与应用开发自动化工作流中涉及的安全方式相结合,以提供应用在运行时的防护能力,相比于传统防护方式可能带来的漏洞误报率高、人工介入周期长等缺点,酷德解决方案更为准确、稳定高效、全面,帮企业实现有效的 DevSecOps。 酷德啄木鸟从始至终坚持以创造新兴事物的能力带动技术升级,切实关注市场政策动向以及用户痛点。利用安全领域高精尖技术,打造专业、小而美的技术成熟型企业。

  酷德啄木鸟是一家长期专注于开发安全领域的厂商,在这一领域已经砥砺近10年。经过多年积累,酷德啄木鸟在DevSecOps全系工具链的产品布局方面已经趋于完备,其主要以SAST源代码缺陷分析系统和SCA软件成分分析系统为核心产品,此外也完善了IAST交互式检测系统、DAST动态检测工具以及RASP应用自保护系统等开发安全工具链,可以在一定程度上完成为用户更好的提供完善且覆盖完整开发生命周期的安全解决方案。 得益于多年的行业深耕,相较于国内诸多该领域的新兴厂商,酷德啄木鸟的主要优势大多数表现在内功层面,尤其是其CodePecker源代码缺陷分析系统(SAST)产品,当前已进化到7.0版本,具有覆盖编程语言广、覆盖缺陷类型全、检测效率高等特点。其SCA软件成分分析系统在准确性、扫描效率、覆盖范围等方面同样具备较强优势。

  默安科技成立于2016年4月,总部在浙江杭州。作为一家云计算时代的新兴网络安全公司,默安科技提供的整体解决方案贯穿左移开发安全(DevSecOps)与智慧运营安全(AISecOps)两大环节,帮助客户构建基于云的下一代安全防护体系,实现安全风险全生命周期管理。公司秉承可持续安全运营理念,注重实际运行效果,致力于成为客户让人信服的安全伙伴。 目前,默安科技已在北京、上海、广州、深圳以及其他二十余个省份建立营销与服务网络,形成研发、营销与服务覆盖全国的战略布局。经过多年发展,默安科技的产品与服务已成功应用于政府、金融、能源、运营商、交通、教育、制造、IT、互联网等众多领域,累计为上千家政企单位提供网络安全保障。

  默安科技是国内首批开辟开发安全业务的安全厂商,在软件供应链安全方面有很深的积累实践。从最初的开发安全体系咨询,到建设完整的开发安全工具链,积累了大批的项目建设经验,再到参加国家行业有关标准的制定和试点推广,将开发安全建设延展到供应链安全治理,研发软件供应链风险评估平台,并且依托阶段性的标准化建设成果,在关基单位做落地实践,最终拉动产业和监管逐步勾勒出了默安科技独创的软件供应链安全管理的体系架构和实现路径。 目前默安科技已经积累包括在政府机构、数字化转型单位和大型集团企业在内的大量软件供应链安全建设案例,为各类行业用户更好的提供软件供应链安全解决方案。

  安全玻璃盒是国家高新技术企业,总部在杭州,致力于为用户更好的提供软件供应链安全解决方案,是国内软件供应链安全领航者。拥有70余项自主知识产权,掌握全球领先的AI智能动态污点分析、大数据人工神经网络以及二进制代码片段分析与验证等创新安全技术。专业为用户定制和落地软件供应链安全、DevSecOps、上线即安全及免疫防御解决方案,让每个用户都能轻松交付安全的产品。业务覆盖金融、政府、运营商、企业等领域的数百家用户,包括兴业银行、广东省农信社、浙江省医保局、中国移动、中国联通、国家电网、物产集团、大华股份等Top级典型用户。以DevSecOps技术创新和独具示范性的优势成为IDC中国DevSecOps技术创新者。

  面对不同用户的差异化特点以及需求,孝道科技同样选择了单探针的技术路径,有机地将旗下产品IAST、SCA以及RASP进行深度的耦合以及智能协同,并以平台的形式交付给用户。借助于深层次地融合的优势,在测试过程中遗留下来的包括应用程序的输入输出、执行指纹等数据,可以保留到应用的运行阶段,为RASP提供更为精准的防御算法。特别值得一提的是,在借助IAST所提供的数据进一步提升防护精度的同时,还能实现补强IAST。 因此,相比业内散装的工具式解决方案,孝道科技的新一代数字化应用安全平台在能力上还是在易用性上,都有显著提升,更有效保障用户的应用从开发到上线整个周期的安全。

  深圳海云安网络安全技术有限公司成立于2015年,是一家专注于新技术应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”,系列应用安全产品研制推广,长期为金融、政府、企业和事业单位提供安全开发、APP安全、数据安全和安全管理中心等全面安全服务解决方案。

  海云安成立于2015年,致力于在应用系统、应用程序的开发、交付和使用的过程中为企业客户解决隐私合规、代码安全、数据安全、业务安全等多方面的网络安全问题。 基于人工智能技术,结合可信计算理念,海云安打造了自主智安全基HAISec,研发了一系列安全开发运营DevSecOps产品工具,包括国内领先的源码安全分析平台、灰盒、黑盒、开源组件安全检验测试产品等,可全面深度评估WEB/APP/大数据/云平台/工业工控应用系统的安全风险和隐私数据合规能力,实现风险漏洞全生命周期闭环管理。形成了面向安全开发与安全运营的全流程智适应安全管控平台,可实现安全开发与运营的全面风险管控。