icon默安科技雳鉴SCA软件成分分析系统icon

默安科技雳鉴SCA软件成分分析系统(以下简称“雳鉴 SCA”),专注解决软件安全开发流程 (SDL)中研发阶段的组件安全问题,是默安科技面向研发安全需求开发的基于软件安全开发生命周期管理的软件成分安全检测系统。在不改变当前研发流程和组织架构的前提下,与代码仓库(如 SVN/GIT/TFS/Mercurial)无缝对接,实现开发阶段的风险组件生命周期闭环管理,以最小的代价帮助企业和组织实现组件安全的自动化检测,风险组件周期管理,安全质量分析,实现开源闭源组件的可视化管理。

icon产品架构icon

雳鉴 SCA 核心部分由云端安全管理平台,软件成分分析引擎,代码仓库监控引擎,数据存储中心等组成。 云端安全管理平台负责项目软件成分安全检测的统一管理,软件成分风险生命周期的闭环管理,第三方组件库安全审计,报告输出以及与软件成分版本管理系统对接;代码仓库监控引擎负责拉取用户代码仓库中的代码,实时监控代码仓库的变化情况,获取代码相关信息;软件成分分析检测引擎负责源代码中软件成分的识别与安全检测;数据存储中心负责保存用户数据;软件成分知识库负责存储软件成分信息,软件成分漏洞详情,漏洞等级,修复建议等基础数据信息,协助开发人员维护组件安全。

icon产品组成与结构icon
项目管理模块

项目管理模块根据项目/模块/任务维度进行管理,可以对每个项目进行隔离,支持安全软件开发流程管理,包括单个项目的整体安全情况,保证产品上线前的安全质量,关注组件风险的趋势,同时可反映产品迭代过程中安全问题的爆发和修复趋势。 项目管理模块包含对项目新建、编辑、删除等操作,以及项目基础信息、项目进度、项目扫描动态、组件数据和漏洞数据的可视化分析呈现,让项目的管理人员能够方便的对项目进行操作,随时关注到项目的安全组件风险,了解检测的结果数据及数据分析的结果。支持定时检测模块数据,杜绝产品带病上线,整体评估项目安全性,帮助项目管理者把控项目整体的安全质量。

组件库管理模块

组件库管理模块负责对企业的第三方私有组件库进行管理,雳鉴 SCA 支持 Nexus、Artifactory 私库检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,详情展示均为单个组件库最新检测的数据。支持对组件库中风险组件生命周期的闭环管理,包括软件成分的风险等级、所属项目、版本号、开源许可证、组件推荐建议等详细信息,并且可于列表一键更新数据,同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其 CVE 风险分布的可视化展示,支持软件成分的分享及报告导出等操作。

软件成分管理模块

基于文件指纹检测以及依赖分析技术,分析获取项目中所有引用到的第三方组件,将软件成分数据回传到服务端,软件成分风险分析引擎,对第三方组件的版本风险,安全漏洞分析,开源许可证风险进行评估,并可视化展示。

系统管理模块

系统管理模块包括报表管理、账号管理、系统信息、授权配置、邮件通知、WebHook 通知、系统升级、自定义配置、日志审计、帮助中心等功能。

第三方集成模块

支持JIRA管理平台、禅道管理平台、Jenkins开源持续集成(CI)工具、LDAP 统一用户管理平台等多种第三方集成,支持一键同步,一键导入到各个平台,实现信息共享。

icon产品功能——与开发流程融合icon

雳鉴 SCA 支持通过本地上传文件检测,支持 SVN/GIT/TFS/Mercurial 等代码仓库获取第三方组件进行检测,支持对代码仓库中的组件进行定时的安全体检,并自动聚合同地址(或同标签)任务生成比对信息,实时反馈至雳鉴 SCA 云端安全管理平台,帮助研发人员定位问题并提供解决方案,便于开发人员及时修复组件。 在不改变原有的研发流程情况下,无感知的对代码仓库进行安全检测,最大限度的减少研发人员的额外工作量,完美融入研发流程,全面覆盖研发人员在编码中和编码后的安全问题。

对研发过程参与者进行安全赋能

将安全嵌入到软件开发的每个阶段,要将安全的能力赋予产品设计人员、研发人员和测试人员,通过将安全技术进行封装等方式,确保参与人员能够进行便捷化的操作,达到安全管理的效果。

软件成分风险管理

雳鉴 SCA 支持对项目中的软件成分进行检测,提供对软件成分的管理,包括软件成分的风险等级、漏洞、版本号、开源许可证等详细信息,并且支持自定义配置开源许可证、策 略组进行检测,同时支持添加自研组件及组件漏洞,覆盖多种使用场景,支持软件成分的分享及报告导出等操作。 管理者可以在雳鉴 SCA 云端管理平台上对软件成分进行可视化管理,把控项目使用软件成分的整体使用情况和相应的安全问题。

第三方组件库管理

雳鉴 SCA 软件成分分析系统支持对第三方库中的软件成分进行检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,提供对软件成分的管理,包括软件成分的风险等级、所属项目、版本号、开源许可证等详细信息,并且可于列表一键重新检测,同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其 CVE 风险分布的可视化展示,支持软件成分的分享及报告导出等操作。 管理者可以在雳鉴 SCA 云端管理平台上对第三方组件库进行可视化管理,把控项目使用软件成分的整体使用情况和相应的安全问题。

报告与报表管理

雳鉴 SCA 支持自动对第三方组件安全问题进行分析,可输出项目报告、模块报告、任务报告。项目报告可视化呈现各模块中含漏洞组件排行,风险组件模块排行等,以图形化报表的方式展现项目安全分析结果,便于管理者把控第三方组件安全的整体情况,提供在线查看、Excel、PDF 和 word 格式的检测报告,如图 4 所示(以项目报告为例):

icon产品价值icon
Gartner SCA 唯一中国厂商

作为全球最具权威的 IT 研究和咨询公司之一,Gartner 密切关注新兴和能带来持续价值的 IT 技术、产品方向,并针对该细分市场发布权威的趋势分析,不仅会分析市场的规模、方向与核心技术,还会列出其在全球范围内筛选评估出来的代表厂商。Gartner 分析师每年都在数千家企业中挑选最具代表性的“创新者”和“颠覆者”,其市场指南报告代表着成熟技术和产品的最高技术水平和最新市场趋势,是细分领域的全球风向标。 同时 Gartner 高级总监分析师 Dale Gardner 及其合作的分析师十分认可默安科技软件成分分析在功能上的完善性和易用性,能够帮助用户极大地降低漏洞确认和修复成本;并对默安科技的开发安全方案在降低误报率的创新性、智能化,以及全面的产品能力和丰富的安全服务类型等方面表示充分的肯定。

与研发流程无缝对接

支持本地上传文件检测,支持 SVN/GIT/TFS/Mercurial 等代码仓库集成;不改变现有开发流程,插件式融入研发阶段;零门槛,零成本,不给研发人员额外工作量,无感知的进行软件成分安全检测。

软件成分生命周期闭环管理

提供软件成分风险发现,风险确认,风险详情,风险修复,风险重检等功能,覆盖软件成分生命周期中的每个阶段; 提供软件成分漏洞描述,修复建议等详情帮助研发人员排查问题和修复组件。

可视化的项目安全分析

支持项目软件成分风险数据综合分析,可视化展示含漏洞组件排行,风险组件模块排行,当前组件风险类别,安全评分等,帮助管理人员整体把控项目安全质量;支持将同地址的任务或同标签的任务聚合为同一模块进行深度分析,可视化展示其风险组件总数趋势与新增风险组件趋势等信息,帮助管理员分析不同时段的组件安全状况;支持项目迭代周期安全质量可视化展示,反映项目迭代过程安全你质量趋势。

详细的软件成分风险管理

雳鉴 SCA 可以帮助用户梳理项目中的第三方组件使用情况,使用频率,使用广度进行可视化展示,针对第三方组件的风险,分为是否最新版本、安全漏洞风险、开源许可证风险三类,帮助用户完全掌握第三方组件的安全风险,评估对第三方组件的修复方案。从而最终解决软件成分风险产生的安全问题对企业带来的收益及名誉损失。

便捷一站式 1Day 漏洞响应

支持提供便捷一站式 1day 漏洞响应,在对应软件成分新漏洞公布后,默安科技第一时间提供软件成分漏洞库更新,更新后在软件成分列表一键重新检测并根据 1day 漏洞名称进行搜索,即可确认受影响的软件成分,在受影响的软件成分详情内提供对应漏洞详情以供查看,方便安全人员及开发人员进行修复。

低误报的多种检测手段

雳鉴 SCA 提供了对影响应用程序的开源组件安全漏洞的深入了解,并提供不同视角分析风险,了风险严重性度量、详细的漏洞描述和修复指南,以降低利用风险。 雳鉴 SCA 关注的是应用程序中实际存在的组件和依赖项,从而避免您花费宝贵的时间来分析模糊匹配和误报。并支持聚合同代码仓库(或同标签)的结果数据,以呈现清晰、完整的安全风险状况。

形成DevSecOps 解决方案

雳鉴系统全流程、零门槛实现研发能力的安全赋能及升级,通过威胁建模、SAST 测试、SCA 测试、IAST 测试到运营全流程的嵌入式解决方案,在不增加用户教育成本、改变工作流程的前提下,实现系统开发全流程的安全能力导入。落实了 devsecops 中“安全是整个 IT 团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节”的核心理念。

icon典型部署说明icon

雳鉴 SCA 支持单机部署和分布式集群部署,单独模块均可横向扩展,支持私有云部署和软件部署等多种方式,灵活适应多种客户环境。

单机方案实施部署

单机部署方案适用于企业或组织机构某一部门的业务上线前对组件进行安全检测,解决软件安全开发流程中的研发阶段安全问题,尤其是业务迭代速度较快,和管理重要部门系统的部门。 开发者在开发阶段可将代码上传到雳鉴 SCA 安全管理平台进行安全检测,也可以将代码仓库与雳鉴 SCA 关联,配置定时检测,检测结果可通过云端安全管理平台进行查看和对风险组件进行管理。

集群方案实施部署

集群部署方案适用于集团公司部署,云端管理集群部署在集团总部,尤其是集团化的大型系统,项目众多,并且迭代速度快,对检测系统要求高,管理者需要对各个研发项目组软件安全质量进行把控,雳鉴 SCA 源码仓库监控引擎,软件成分风险检测引擎,云端安全管理平台等细分模块均可横向扩展,满足不同企业需求。

icon场景及应用icon
场景一:研发业务自查
企业用户拥有自己的研发团队,在开发过程中,利用雳鉴产品,有效提升软件版本质量,落地整个软件安全开发生命周期管理。面对不同研发部门,默安科技协助科技部制定应用的软件成分安全标准落地;利用雳鉴平台进行流程化管理,将软件成分风险及安全漏洞的发现和治理实施在系统上线之前;把控好外包部门研发的安全质量和安全意识,提升自己内部研发部门的安全意识;满足企业的安全合规要求。
场景二:外包业务自查
很多的企业用户把业务系统都外包给软件公司进行开发,在业务系统交付时无法有效验证系统安全性。通过雳鉴对交付时的业务系统进行软件成分安全测试,发现缺陷并修复,提高业务系统软件安全系数。
icon用户价值icon
降低软件安全问题修复成本

在系统不同的阶段,漏洞修复的成本也是不一样的,采用安全在软件开发前期介入的方 式可大大降低解决安全问题的成本。根据 Gartner 统计,在软件上线前发现并纠正安全问题所花费的成本,比软件交付后通过“上线安全评估”发现问题再进行整改的成本要低50~1000 倍,从软件整个生命周期的开发与维护成本来看,提前发现问题会导致安全成本大幅降低。雳鉴 SCA 可帮助企业和组织机构在开发过程中“第一时间”发现组件安全问题,有效提高安全工作的效率和安全问题的修复成本。

全流程软件成分解决方案

雳鉴 SCA 提供的研发阶段安全解决方案内容涵盖了无缝对接研发流程的安全检测手段, 无感知的代码仓库及第三方组件仓库集成方案,软件成分风险生命周期闭环管理,软件成分安全检测平台搭建与整合集成,支持对代码仓库中的软件成分进行定时的安全体检,覆盖整个研发流程的各种阶段。

自助、可控的软件成分安全解决方案

软件底层信息是软件厂商和组织机构的核心机密,检测组件安全产品部署到企业核心网络中是否会引入其他的安全问题。随着网安法的发布,明确规定安全产品需要自主可控,如何保障三方组件安全检测产品的自身安全自主可控,是很多企业,尤其是重要信息系统单位关注的关键问题之一。雳鉴 SCA 是默安科技自主研发的国产软件成分安全检测产品,针对研发阶段的解决方案符合国家信息安全产品“自主,可控”的原则。

icon案例:制造行业-某大型民营企业icon
案例背景
该公司是一家专注于健康饮食电器研发、生产和销售的上市企业。随着时代的变革,家电已经成为物联网时代的家电独角兽,成为人们生活中的一部分,家电也越来越智能。家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大,更多的是在安全开发过程中去解决,就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。
客户需求
缺乏安全测试流程和规范,研发团队在业务自查中存在规范的安全测试及验证流程,但 仅靠安全人员的参与在落地中存在一定的困难;安全部门更希望通过一套机制能在开发过程中查出软件成分风险和一些安全问题,杜绝 业务带病上线。之前没有任何流程和工具来提供有效的保证;软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。
 
 
部署场景
通过默安雳鉴开发安全解决方案在研发过程中使用,全面检测高危风险行为。
 
 
 
 
 
方案价值
在开发测试环节中建立安全测试环节,取代了人工渗透环节,帮助该企业在开发过程中快速发现软件成分风险、查出安全问题,做到风险低误报,降低了安全技术的门槛,做 到软件安全真正自主可控。建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业 务安全自查需求,达到真实业务需要。技术支持快速响应,在安全测试环节,技术团队的安全服务非常到位,出现问题第一时 间响应,得到开发部门及安全部门的认可。
icon公司介绍icon
icon技术团队icon
从业经历
团队由原供职于阿里巴巴、蚂蚁金服、 腾讯、百度、华为、趋势科技、绿盟等 知名企业的多名安全专家组成。在互联网金融、电商、运营商、政府、 金融、物流等领域都有非常成熟的安全经验。
技术实力
拥有多项技术专利和软件著作权,涉及网站防篡改、设备识别、业务逻辑漏洞等多个前沿领域。
 
 
实战经验
为G20峰会保驾护航,圆满完成“两会”信息安全保障工作。为第十九次全国代表大会、世界互联网大会乌镇峰会、进博会、改革开放40周年暨港珠澳大桥开通等重要活动提供网络安全保障服务。
三大实验室
影武者实验室:为Apple、Microsoft、Google、IBM等国际知名公司发现漏洞并获得致谢。数据实验室:研究并发布业内首个AI安全大脑。加特林实验室:多次红蓝对抗中成绩优异。云计算安全实验室:研发出检测响应一体化的云平台安全解决方案业内率先推出混合云安全管理平台。
icon资质证书icon
✓ 国家互联网应急中心浙江分中心合作支撑单位
✓ 浙江省互联网协会网络安全技术服务支撑单位
✓ 信息安全服务资质证书(安全开发类一级)
✓ 信息安全服务资质认证证书(信息安全风险评 估三级服务资质) ✓ 信息安全服务资质认证证书(信息系统安全运 维三级服务资质) ✓ 中国通信企业协会通信网络安全服务能力评定 证书(一级风险评估能力)
✓ ISO9001质量管理体系认证
✓ 杭州市高新技术企业
icon资质证书icon
✓ 2017年最具投资价值企业
✓ 2018中国网络安全产业发展及投资价值60强
✓ 2018CCF-GAIR“AI+安全”最佳商用成长奖
✓ 2018CSS Future Power 50 安全新锐力量
✓ 2018《互联网周刊》“数字中国推动者TOP100”
✓ 2018ISC“安全创客汇” 年度十强 ✓ IDC中国威胁情报安全服务市场创新者
✓ 2018安全牛“网络安全行业全景图”酷厂商
✓ 2018年度双11企业服务企服英雄榜第18位
✓ 政务云安全方案获2018年广东省电子政务优秀案例
✓ 万科应用系统开发安全项目获i黑马2018企业服务企服案例TOP50
✓ 2018年赛迪网络安全潜力企业榜80强
✓ 2019年杭州准独角兽企业
产品推荐 查看更多>>