• 酷德啄木鳥發布“析微”SCA軟件成分分析系統

    首頁 / 業界 / 企業 /  正文
    作者:藏青
    來源:安全419
    發布于:6天前
    11月30日,開發安全廠商酷德啄木鳥在北京舉行新品發布會,正式發布旗下新品——“析微”SCA軟件成分分析系統。
     
    酷德啄木鳥總經理楊臨慶談到,隨著數字化、信息化的不斷深入,軟件已進入大眾日常生活的方方面面。軟件研發需求不斷攀升,軟件開發量也呈幾何級增長。為了降低軟件的開發成本和周期,企業的研發團隊開始大量的利用開源軟件組件以加快軟件的開發速度。
     
    從2012年起,已有超過80%的商業軟件是在開源軟件的基礎上二次開發而形成的。Gartner也在一份報告中指出,現代軟件大多數是被“組裝”出來的,而不是被“開發”出來的。
     
    開源代碼的使用大幅度提高了軟件研發效率、降低開發成本。但開源軟件中存在的大量缺陷、甚至安全漏洞也一并進入了軟件部署包,為軟件帶來巨大的安全風險。據業內統計,當前98%的代碼庫包含開源代碼,每個代碼庫平均有528個組件,84%的代碼庫至少存在一個漏洞(比2019年的75%增加了9%。包含高風險漏洞的代碼庫的百分比在2020年增加到60%,比2019年審計的49%增加了11%。
     
     
    楊臨慶表示,除了軟件供應鏈帶來的攻擊風險外,企業還面臨著開源軟件所帶來的使用許可風險,開源組件受具有不同義務和限制級別的許可約束,這一點往往會被開發人員所忽略,如果不遵守開源許可,將會使企業面臨訴訟甚至產品知識產權受到威脅,其給企業帶來的風險甚至不亞于安全漏洞。
     
    面對開源生態下越發嚴峻的安全威脅形勢,網絡安全業界廠商開始積極探索以軟件成分分析技術SCA(Software Composition Analysis),試圖尋找到一條對軟件中的風險開源組件進行高效識別和管理的解決路徑,而酷德啄木鳥自主研發的CodePecker軟件成分分析系統“析微”也同樣在這樣的背景下應運而生。
     
    楊臨慶介紹,“析微”軟件成分分析系統旨在幫助開發人員在整合第三方軟件時,處理潛在的安全問題。系統通過分析應用軟件包中的成分,包括軟件來源、授權許可方式、版本號等信息,并對比漏洞庫,判斷檢測包是否包含已知漏洞。幫助用戶掌握開源軟件資產信息,及時獲取開源軟件漏洞情報,降低由開源軟件帶來的安全風險,保障企業交付更安全的軟件。
     
    在具體功能實現方面,“析微”軟件成分分析系統重點為用戶提供包括軟件成分組成分析、軟件依賴組件合規檢測、軟件依賴組件漏洞識別、軟件成分分析項目管理以及軟件成分統計分析等多重安全管理功能,幫助用戶識別應用中的開源組件的協議,檢查組件的授權許可,并甄別組件是否存在安全缺陷,識別可能存在安全漏洞的開源組件,從多個視角深刻反映軟件應用構成的整體安全狀況,以幫助用戶在軟件開發階段介入開源組件管理手段,從代碼源頭解決安全問題。
     
    楊臨慶表示:“傳統安全防御模式是救火隊式的被動防御,通常都是在軟件上線后才開始做的,酷德啄木鳥則提出了‘固本清源’的理念,希望能夠打破傳統安全的壁壘,從源頭和代碼最底層解決安全問題,提早發現軟件代碼的安全缺陷,將漏洞在萌芽時期修復,以基因檢測式的主動防御幫助用戶解決安全威脅。”
     
     
    在最后的圓桌環節中,酷德啄木鳥總經理楊臨慶、數世咨詢CEO李少鵬、聯通智慧安全科技CTO周凱三位嘉賓還就當前軟件開發安全普遍存在的安全痛點,圍繞開發安全建設應從何處入手、在開發安全建設過程中如何找到安全與業務發展的平衡點、如何選用適用自身發展階段的開發安全產品、如何選擇適合自身企業的開發安全供應商等多個實際問題進行了深度探討,從多個視角為觀眾帶來了專業的解讀。
     
    安全419關注到,作為一家成立于2013年的成熟型開發安全廠商,酷德啄木鳥已陸續推出了旗下的源代碼缺陷分析系統-補闕(SAST)、動態測試工具-參透(DAST)、交互式安全檢測系統-如影(IAST)、運行時應用自保護系統-關楗(RASP),隨著軟件成分分析系統“析微”(SCA)的發布,其DevSecOps全系工具鏈已逐漸趨于完備。
     
    常言“工欲善其事,必先利其器”,在DevSecOps關注度水漲船高的當下,酷德啄木鳥注定將迎來一個快速發展的機遇期。