軟件供應(yīng)鏈安全是近年各國政府和業(yè)界開始關(guān)注的安全領(lǐng)域。軟件供應(yīng)鏈安全的問題主要表現(xiàn)為在軟件代碼中插入惡意代碼和植入安全缺陷,。軟件供應(yīng)鏈安全的薄弱環(huán)節(jié),，主要包括：關(guān)鍵軟件和設(shè)計工具難以從源頭掌握軟件供應(yīng)鏈、開源代碼潛藏安全缺陷,、管控體系尚不完善等問題,。

　　國舜股份在最近幾年的開發(fā)安全實踐中發(fā)現(xiàn)：廠商使用第三方組件和開源組件有助于提高軟件開發(fā)的效率,，但同時也把潛在的缺陷引入,，為企業(yè)帶來未知的安全隱患,。據(jù)往年軟件供應(yīng)鏈報告顯示，超過10%的java開源組件至少包含一個已知漏洞,。

　　為了解決這類開源軟件的潛在安全風險,，提高軟件供應(yīng)鏈安全的防護能力，SCA 工具正在成為應(yīng)用程序安全的必備工具,。國舜股份根據(jù)在金融領(lǐng)域多年的積累,，推出了適合金融領(lǐng)域供應(yīng)鏈安全的SCA工具-國舜灰鴨SCA軟件成分分析系統(tǒng)（以下簡稱國舜SCA）。

　　國舜SCA能夠進行安全缺陷深度檢測,、開源協(xié)議風險檢測,、軟件成分分析、合規(guī)分析等功能,，精準識別系統(tǒng)中存在的已知安全漏洞或潛在的許可證授權(quán)問題,，把安全風險排除在軟件的發(fā)布上線之前。

　　創(chuàng)新功能模塊

　　二進制掃描技術(shù)

　　可分析二進制組件,、Dock鏡像,、可以分析字節(jié)碼、二進制軟件

　　多種掃描形式支持

　　支持源碼,、二進制,、Dock鏡像、SBOM,、制品庫等多種掃描形式

　　部署方式靈活多樣

　　可支持虛擬化云部署,；支持分布式部署；支持鏡像（Docker）部署

　　更多產(chǎn)品優(yōu)勢

　　創(chuàng)建準確的物料清單

　　物料清單將描述應(yīng)用程序中包含的組件,、所用組件的版本以及每個組件的許可證類型,。可幫助安全專業(yè)人員和開發(fā)人員更好地了解應(yīng)用程序中使用的組件,，并深入了解潛在的安全和許可問題,。

　　發(fā)現(xiàn)并跟蹤所有開源組件

　　開源軟件和許可證管理掃描工具發(fā)現(xiàn)源代碼、二進制文件,、構(gòu)建依賴項,、子組件中使用的所有開源組件。

　　主動和持續(xù)監(jiān)控

　　為了更好地管理工作負載并提高生產(chǎn)力,，SCA 持續(xù)監(jiān)控安全和漏洞問題,，并允許用戶針對當前和已發(fā)布產(chǎn)品中新發(fā)現(xiàn)的漏洞進行示警。

　　無縫集成到構(gòu)建環(huán)境

　　在 DevOps 環(huán)境中集成,，以便掃描代碼并識別構(gòu)建環(huán)境中的依賴項,。

　　國舜布局軟件成分分析方向,，助力廠商修復(fù)軟件安全問題，將源代碼中存在的安全漏洞掃描出來,，并整理生成完整的報告,。保證用戶能夠有足夠細粒度的資產(chǎn)、風險透視能力,、風險的主動識別能力,、開源軟件的基線檢查能力。

　　“軟件安全開發(fā)生命周期”的落地實踐能夠從軟件誕生的源頭提升軟件安全質(zhì)量,，國舜在金融,、保險及運營商客戶領(lǐng)域落地了不少的開發(fā)安全項目，收獲了客戶認可,，積累了豐富的開發(fā)安全經(jīng)驗和知識,，并憑借國舜情景式安全管理平臺、準入平臺,、珍瓏IAST等一系列輔助開發(fā)安全的應(yīng)用工具,，高效助力客戶網(wǎng)絡(luò)安全水平提升。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<