行業(yè)背景

隨著計算機(jī)技術(shù)的發(fā)展，開源軟件的使用率正在平衡快速增長，在軟件開發(fā)過程中使用開源軟件時，不應(yīng)僅僅關(guān)注開源軟件的功能，還應(yīng)把安全作為重要因素納入考量。SmartRocket Scanner專注于通過軟件生命周期開源安全與合規(guī)分析管理平臺識別并規(guī)避相關(guān)開源風(fēng)險，提供全面的解決方案，幫助企業(yè)實(shí)現(xiàn)開源的安全性，確保其產(chǎn)品和服務(wù)的安全，建立一個健康的開源軟件生態(tài)系統(tǒng)。

產(chǎn)品概述

SmartRocket Scanner是一款開源組件成分資產(chǎn)安全與合規(guī)分析管理工具，基于左移安全、DevSecOps、實(shí)時監(jiān)控的安全理念，在軟件生命周期中對開源軟件和依賴組件進(jìn)行持續(xù)自動化識別、組件清單管理、安全風(fēng)險分析與漏洞修復(fù)、許可證風(fēng)險分析、持續(xù)集成管理、用戶庫管理等，并與第三方開發(fā)工具無縫集成，實(shí)現(xiàn)自動化的安全分析、策略執(zhí)行、持續(xù)集成以及實(shí)時監(jiān)控，針對新的漏洞及時響應(yīng)與定向通知。工具適用于敏捷開發(fā)/流水線/安全左移等持續(xù)管理與監(jiān)測平臺，來通過產(chǎn)品解決方案幫助企業(yè)解決對開源軟件維護(hù)、管理不善而產(chǎn)生的問題等。

產(chǎn)品功能

01 深入式分析

多維度代碼靜態(tài)掃描、依賴包掃描、代碼同源掃描、鏡像掃描，進(jìn)行透徹行分析。

02 高效漏洞修復(fù)

精確分析定位并提供漏洞級解決方案或緩解措施，為風(fēng)險評估提供詳細(xì)信息。

03 許可證合規(guī)性

提供全方位的開源許可證識別、風(fēng)險分析、溯源分析和兼容性分析。

04 持續(xù)監(jiān)控溯源

系統(tǒng)知識庫每日更新，及時發(fā)現(xiàn)新漏洞影響組件與項(xiàng)目，定向推送與響應(yīng)。

05 技術(shù)無縫對接

提供豐富的插件、APIs或第三方接口，無縫集成至客戶DevOps系統(tǒng)。

06 定制化開發(fā)

高效率的研發(fā)服務(wù)團(tuán)隊，可針對客戶的特定需求進(jìn)行快速定制化開發(fā)。

產(chǎn)品優(yōu)勢

01 動態(tài)安全版本推薦

提供動態(tài)解決方案，選擇與用戶使用版本最近的安全版本進(jìn)行推薦升級，保證兼容性，若多個漏洞屬于同一組件則會推薦統(tǒng)一版本進(jìn)行修復(fù)。

02 靈活自建依賴庫

支持企業(yè)自主構(gòu)建漏洞庫及開源軟件知識庫，項(xiàng)目能及時檢測出是否引入該依賴或漏洞，同時工具提供開放的API，支持靈活的客戶化定制。

03 全方位組件防火墻

用戶可基于漏洞風(fēng)險等級、許可證、組件黑白名單設(shè)置規(guī)則，自動阻止有風(fēng)險的組件進(jìn)入私有倉庫，防止問題組件進(jìn)入軟件開發(fā)生命周期。

04 高效率敏捷開發(fā)

支持在編碼過程中發(fā)現(xiàn)代碼問題并定位到行，快速給出修復(fù)建議，在構(gòu)建階段根據(jù)用戶自定義規(guī)則進(jìn)行自動化策略執(zhí)行，及時阻斷實(shí)現(xiàn)安全左移。

05 數(shù)據(jù)可視化工作臺

為管理團(tuán)隊提供整個企業(yè)的開源資產(chǎn)可視化大屏，清楚掌握所使用的開源組件、開源漏洞、漏洞變化趨勢等，直觀統(tǒng)計并協(xié)助企業(yè)管理安全資產(chǎn)。

06 實(shí)時監(jiān)控與精準(zhǔn)推送

實(shí)時監(jiān)控開源軟件漏洞情報，關(guān)聯(lián)用戶的相關(guān)項(xiàng)目，做到及時響應(yīng)，提供郵件和釘釘?shù)仁聞?wù)跟蹤工具配置，進(jìn)行定向提醒、精準(zhǔn)推送問題信息。

成果應(yīng)用

01 汽車制造商

隨著嵌入式軟件開發(fā)的快速發(fā)展，汽車行業(yè)也在不斷引入開源軟件和第三方依賴組件的使用。但大多數(shù)企業(yè)缺乏針對軟件生命周期的開源軟件安全管理，缺乏“早發(fā)現(xiàn)、早檢測、早修復(fù)、早管理”的產(chǎn)品理念，使得開源軟件和依賴組件的漏洞被引入到軟件中。Scanner可以在風(fēng)險管理、開發(fā)階段、測試階段及時發(fā)現(xiàn)漏洞，做到安全左移，并在軟件運(yùn)行階段監(jiān)控開源軟件漏洞情報，關(guān)聯(lián)相關(guān)項(xiàng)目，做到及時響應(yīng)。

02 軟件開發(fā)商

當(dāng)前混源軟件開發(fā)已經(jīng)成為主要的軟件開發(fā)方式之一。混源軟件開發(fā)雖然為軟件開發(fā)商帶來了極大便利，提高了開發(fā)效率，降低了開發(fā)成本，但由于其在開發(fā)過程中對開源軟件的依賴和引用關(guān)系較為復(fù)雜，使其安全性缺少審查和管理，也因此增加了軟件供應(yīng)鏈的復(fù)雜性和安全風(fēng)險。Scanner能從組件成分分析中識別使用開源代碼的方式，包括完整引用開源項(xiàng)目、引用部分開源項(xiàng)目源文件、引用開源代碼片段，以改善開源軟件成分“臟亂差”問題。

03 金融業(yè)

金融行業(yè)對開源許可風(fēng)險不可忽視，除了信息安全風(fēng)險，開源軟件還可能引入知識產(chǎn)權(quán)風(fēng)險。由于開源軟件依賴關(guān)系的復(fù)雜性，在使用開源軟件時，不同的開源軟件許可證之間可能存在合規(guī)性和兼容性風(fēng)險，從而導(dǎo)致知識產(chǎn)權(quán)風(fēng)險。Scanner從開源許可證識別、開源許可證風(fēng)險分析、開源許可證溯源分析以及開源許可證兼容性分析等多個維度全方面地保障金融企業(yè)安全，防止風(fēng)險傳遞，保障軟件生命周期的安全。