軟件供應(yīng)鏈安全是近年各國(guó)政府和業(yè)界開始關(guān)注的安全領(lǐng)域。軟件供應(yīng)鏈安全的問題主要表現(xiàn)為在軟件代碼中插入惡意代碼和植入安全缺陷。軟件供應(yīng)鏈安全的薄弱環(huán)節(jié)，主要包括：關(guān)鍵軟件和設(shè)計(jì)工具難以從源頭掌握軟件供應(yīng)鏈、開源代碼潛藏安全缺陷、管控體系尚不完善等問題。

　　國(guó)舜股份在最近幾年的開發(fā)安全實(shí)踐中發(fā)現(xiàn)：廠商使用第三方組件和開源組件有助于提高軟件開發(fā)的效率，但同時(shí)也把潛在的缺陷引入，為企業(yè)帶來未知的安全隱患。據(jù)往年軟件供應(yīng)鏈報(bào)告顯示，超過10%的java開源組件至少包含一個(gè)已知漏洞。

　　為了解決這類開源軟件的潛在安全風(fēng)險(xiǎn)，提高軟件供應(yīng)鏈安全的防護(hù)能力，SCA 工具正在成為應(yīng)用程序安全的必備工具。國(guó)舜股份根據(jù)在金融領(lǐng)域多年的積累，推出了適合金融領(lǐng)域供應(yīng)鏈安全的SCA工具-國(guó)舜灰鴨SCA軟件成分分析系統(tǒng)（以下簡(jiǎn)稱國(guó)舜SCA）。

　　國(guó)舜SCA能夠進(jìn)行安全缺陷深度檢測(cè)、開源協(xié)議風(fēng)險(xiǎn)檢測(cè)、軟件成分分析、合規(guī)分析等功能，精準(zhǔn)識(shí)別系統(tǒng)中存在的已知安全漏洞或潛在的許可證授權(quán)問題，把安全風(fēng)險(xiǎn)排除在軟件的發(fā)布上線之前。

　　創(chuàng)新功能模塊

　　二進(jìn)制掃描技術(shù)

　　可分析二進(jìn)制組件、Dock鏡像、可以分析字節(jié)碼、二進(jìn)制軟件

　　多種掃描形式支持

　　支持源碼、二進(jìn)制、Dock鏡像、SBOM、制品庫(kù)等多種掃描形式

　　部署方式靈活多樣

　　可支持虛擬化云部署；支持分布式部署；支持鏡像（Docker）部署

　　更多產(chǎn)品優(yōu)勢(shì)

　　創(chuàng)建準(zhǔn)確的物料清單

　　物料清單將描述應(yīng)用程序中包含的組件、所用組件的版本以及每個(gè)組件的許可證類型?？蓭椭踩珜I(yè)人員和開發(fā)人員更好地了解應(yīng)用程序中使用的組件，并深入了解潛在的安全和許可問題。

　　發(fā)現(xiàn)并跟蹤所有開源組件

　　開源軟件和許可證管理掃描工具發(fā)現(xiàn)源代碼、二進(jìn)制文件、構(gòu)建依賴項(xiàng)、子組件中使用的所有開源組件。

　　主動(dòng)和持續(xù)監(jiān)控

　　為了更好地管理工作負(fù)載并提高生產(chǎn)力，SCA 持續(xù)監(jiān)控安全和漏洞問題，并允許用戶針對(duì)當(dāng)前和已發(fā)布產(chǎn)品中新發(fā)現(xiàn)的漏洞進(jìn)行示警。

　　無縫集成到構(gòu)建環(huán)境

　　在 DevOps 環(huán)境中集成，以便掃描代碼并識(shí)別構(gòu)建環(huán)境中的依賴項(xiàng)。

　　國(guó)舜布局軟件成分分析方向，助力廠商修復(fù)軟件安全問題，將源代碼中存在的安全漏洞掃描出來，并整理生成完整的報(bào)告。保證用戶能夠有足夠細(xì)粒度的資產(chǎn)、風(fēng)險(xiǎn)透視能力、風(fēng)險(xiǎn)的主動(dòng)識(shí)別能力、開源軟件的基線檢查能力。

　　“軟件安全開發(fā)生命周期”的落地實(shí)踐能夠從軟件誕生的源頭提升軟件安全質(zhì)量，國(guó)舜在金融、保險(xiǎn)及運(yùn)營(yíng)商客戶領(lǐng)域落地了不少的開發(fā)安全項(xiàng)目，收獲了客戶認(rèn)可，積累了豐富的開發(fā)安全經(jīng)驗(yàn)和知識(shí)，并憑借國(guó)舜情景式安全管理平臺(tái)、準(zhǔn)入平臺(tái)、珍瓏IAST等一系列輔助開發(fā)安全的應(yīng)用工具，高效助力客戶網(wǎng)絡(luò)安全水平提升。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<