0571-57890068面臨挑戰(zhàn)
軟件供應(yīng)鏈攻擊事件頻發(fā),安全風(fēng)險(xiǎn)增加
近年來(lái),軟件供應(yīng)鏈安全事件頻發(fā),對(duì)于用戶隱私、財(cái)產(chǎn)安全乃至國(guó)家安全造成重大威脅。Gartner預(yù)測(cè),到2025年全球45%的企業(yè)機(jī)構(gòu)將遭遇軟件供應(yīng)鏈攻擊,相比2021年增加了3倍。軟件供應(yīng)鏈安全直接關(guān)系著關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全,保障軟件供應(yīng)鏈安全成為業(yè)界關(guān)注焦點(diǎn)和共同目標(biāo)。
缺乏體系化的軟件供應(yīng)鏈安全治理方案
目前市面上傳統(tǒng)的安全檢測(cè)方式主要集中在采用滲透測(cè)試、代碼審計(jì)服務(wù),或者采用漏洞掃描器或白盒代碼掃描器對(duì)交付物進(jìn)行黑白盒態(tài)的安全掃描。這類(lèi)傳統(tǒng)的安全驗(yàn)收方式所能覆蓋的檢測(cè)場(chǎng)景和檢測(cè)能力有限,并且無(wú)法生成交付軟件的供應(yīng)鏈資產(chǎn)臺(tái)賬(基礎(chǔ)服務(wù)資產(chǎn)、API資產(chǎn)、三方云服務(wù)資產(chǎn)、三方組件資產(chǎn)、漏洞清單、敏感數(shù)據(jù)信息等)。需方?jīng)]有有效技術(shù)手段了解對(duì)交付軟件的依賴(lài)情況,導(dǎo)致后續(xù)的供應(yīng)鏈?zhǔn)录l(fā)時(shí)的應(yīng)急被動(dòng)。
缺乏覆蓋新型場(chǎng)景的安全治理能力
傳統(tǒng)的安全驗(yàn)收方式對(duì)于云原生、物聯(lián)網(wǎng)等新型應(yīng)用場(chǎng)景無(wú)法提供更細(xì)粒度的安全檢測(cè)能力(如IaC掃描、API安全檢測(cè)等),更無(wú)法支撐甲方企業(yè)在自研、外包、外采等數(shù)字化系統(tǒng)建設(shè)模式下對(duì)軟件供應(yīng)鏈安全層面的管理要求,使得甲方企業(yè)缺少針對(duì)增量和存量的業(yè)務(wù)系統(tǒng)進(jìn)行軟件供應(yīng)鏈風(fēng)險(xiǎn)排查的技術(shù)抓手。
核心功能
核心優(yōu)勢(shì)
實(shí)現(xiàn)軟件風(fēng)險(xiǎn)的可追溯性
在保證軟件機(jī)密性、完整性、可用性的基礎(chǔ)上,保障軟件供應(yīng)鏈信息具有一定的透明度,一旦軟件供應(yīng)鏈出現(xiàn)問(wèn)題,能夠及時(shí)準(zhǔn)確實(shí)現(xiàn)問(wèn)題定位和追溯,識(shí)別相關(guān)方實(shí)體,包括供應(yīng)商、軟件、組件乃至代碼等。
實(shí)現(xiàn)軟件成分的可審計(jì)性
保障軟件供應(yīng)鏈各環(huán)節(jié)中所處理信息的完整性、準(zhǔn)確性和可靠性,緩解由于軟件漏洞、后門(mén)、合規(guī)性等問(wèn)題帶來(lái)的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。
實(shí)現(xiàn)核心代碼泄露風(fēng)險(xiǎn)的可控性
軟件供應(yīng)鏈安全檢查工具箱的檢查機(jī)制跟傳統(tǒng)的代碼審計(jì)不同,無(wú)需查看軟件源碼,是在軟件運(yùn)行狀態(tài)下檢查軟件存在的真實(shí)風(fēng)險(xiǎn),從而避免因代碼審計(jì)造成的核心代碼泄露風(fēng)險(xiǎn)。
應(yīng)用場(chǎng)景
檢測(cè)及應(yīng)急聯(lián)動(dòng)方案
風(fēng)險(xiǎn)一站式摸排
安全檢查方案
即刻獲取方案
正勤·美培創(chuàng)意園3號(hào)樓