默安科技软件供应链风险治理解决方案_软件供应链风险评估平台

立即咨询

立即试用

商务合作

默安科技软件供应链风险治理解决方案

默安科技软件供应链风险治理解决方案，整合软件供应链风险评估与成分分析平台。可全面扫描软件成分，精准识别潜在风险，覆盖开发全流程风险管控，提升供应链安全性与合规性，为企业软件供应链风险管理提供高效支撑。

立即咨询

什么是软件供应链?

编写软件并将软件交付给用户的系统

一个通过一级或多级软件设计、开发阶段编写软件，并通过软件
交付渠道将软件从软件供应商送往软件用户的系统

覆盖软件供应生命周期的各个存在供应关系的主体之间网链系统

需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链系统

国家对于软件供应链安全的重视 icon

第四条网络安全审查重点审查网络产品和服务的安全性、可控性，主要包括
产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险
产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险

政策趋势：国家高度重视软件供应链安全 icon

工作重点：软件供应链出入口安全管控

在供应商选择时，应注意防范非技术因素导致产品和服务供应中断风险验收时应对软件进行源代码层面的安全检测目的：优先开展关基系统供应链安全保护

工作重点：覆盖软件供应链生命周期

加强供应商管控
软件供应链知识图谱建设维护
供需双方常态化检测、监测、评估、应急机制
目的：提供基础框架，指导企业、监管、供应商如何各自开展体系化的供应链安全管理，填补国家标准空白

工作重点：聚焦软件产品中开源代码安全

评价体系：包括代码来源、代码质量、知识产权可控性以及产品成熟度
评价指标:自主可控、所属国家、国内维护者所占比例等
目的：自主率摸排、开源代码来源摸排，预测自主可控水平、评估供应中断风险,引导企业开展核心组件国产化替代

软件供应链安全生命周期分析:要解决的核心问题 icon

根据软件供应链的特点，软件供应链的业务流程可以抽象成引入、加工以及应用三个环节

平台功能架构

软件供应链安全检查评估流程 icon

软件供应商安全检测评估 icon

组件依赖深度检测

源码扫描

直接上传源码或通
过代码仓库拉起源
码扫描

容器扫描

上传导出的容器
镜像文件扫描

制品扫描

上传jar/war制品扫描

测试环境插桩

通过代码插桩技术对组件进行监控

组件依赖树

扫描完成后自动生成项目组件依赖树，直观展示组件的依赖关系，清晰定位组件引用状态

文件依赖树

文件依赖树展示组件引入的文件位置，方便定位组件引入情况

开源组件漏洞真实影响分析 icon

代码解析引擎处理源码，生成CPG图。污点追踪，通过对可控输入进行污点标记，该标记经过的操作，返回值也被标记为污点，到最终的汇聚点，如果形成完整的标记链，则证明漏洞真实可控。使用scala进行检测脚本开发，针对已披露详情的组件漏洞的触发点进行检测，保证漏洞的真实性

漏洞检测

开源组件检测引擎通过检测配置文件识别到组件引入

危险函数调用

确认组件是否真的在代码中被调用

污点传播分析

确认组件漏洞是否真实可触发

二进制同源性检测

二进制软件成分分析原理

文件解析模块:解析上传的不同格式的二进制文件，从中解析出汇编程序。特征提取模块:对解析后的代码提取多维度特征提取模块:提取与程序逻辑相关的控制流特征和程序逻辑无关的文本特征。相似度打分模块:根据特征库和待检文件的多维度特征综合打分识别组件成分

基于插桩技术的风险深度检测 icon

无感知自动检测漏洞，效率高
插桩模式精准定位漏洞的代码细节，方便复现和修复
全量API发现，API测试覆盖度展示

业务逻辑漏洞检测

越权类

根据流量时序分析用户行为独创的自动化流量权限识别方法根据流量权限，检测越权漏洞

水平越权：订单遍历，用户资料遍历等
垂直越权：接口未授权访问，越权获取资源等

其他类

根据漏洞产生理论分析的检测方法；根据请求响应特征；联合请求上下文综合判断

登陆缺少验证码：爆破账号密码等
重复发送手机验证码：短信轰炸等
验证码逻辑错误：枚举用户名、爆破密码等

个人隐私泄露检测

基于GDPR、PCI-DSS及相关草案，通过检测程序中的数据类型（密码、银行卡号等）是否明文保存在日志、数据库等对个人隐私数据泄露的违规行为进行检测

laC安全扫描

使用场景

私有镜像的启动配置文件核查云服务厂商容器的启动配置文件核查

检测原理

配置文件的不同格式根据进行AST解析，拆分成条目列表将规则库导入的条目与配置列表进行匹配，查看其是否满足安全要求现有检测规则，涵盖阿里云，AWS，Google等国内外知名厂商。并且支持Dockerfile,K8s Manifest,Terraform,Cloudformation四种主流IAC框架

软件供应链风险情报维护 icon

与无缝集成功能复用统一管理混合编排

供应链情报列表以列表形式展示平台内创建的供应链情报，支持创建、编辑、停用/启用、导入供应链情报，对于启用中的供应链情报若在后续扫描中出现的与此情报有关联的内容，将在供应链预警功能中展示
供应链情报预警是通过供应链情报关联的组件、服务、供应商对关联的平台内的项目作出进行预警，可以帮助企业在风险出现时更快、更好地响应

风险自动同步

项目扫描后的漏洞数据可同步至JIRA、禅道，进行第三方漏洞数据管理

逐步建立软件供应链可信目录 icon

可信供应商

供应商基本信息
供应商资质
供应商信誉
供应商安全承诺
供应商评估结果
供应商工具评估结果

可信工具

软件和组件的完整性校验CVE公开组件漏洞检测高危漏洞:水平越权、垂直
越权、未授权访问、SQL注入、缓冲区溢出、密码硬编码风险:敏感信息泄露、数据跨境、协议违规使用、软件
后门病毒:木马、蠕虫、勒索

可信组件

提供可信组件库保证组件官方路径引入进行组件入库已知漏洞检测

可信服务

服务工具检测结果
服务人员资质
既往服务安全事件
服务供应商评估结果

默安软件供应链安全先进性与创新点 icon

前瞻性的开展合规检测工具研发，开拓了多种业务场景的软件供应链安全解决方案默安科技参与了软件供应链安全相关的国家行业、团体标准研究，共同探讨软件供应链安全管理的具体要求和配套检测工具的技术要求，依托在研标准要求，研发了软件供应链安全检查工具箱产品，在不同业务场景下形成了一些可落地的解决方案，例如关基单位集团网省公司软件供应链安全检测方案自研外采数字化转型软件供应链风险一站式摸排解决方案、政府行业软件供应链安全检查方案等

各个行业的落地实践

能源行业：关注存量系统的供应链图谱梳理和漏洞快速应急响应

第一步：立制度

结合现有及在编的软件供应链相关标准及现有
供应商管理，制定软件供应链安全管理制度

第二步：找问题

分两步走，先针对营销、电力交易等重点系统进行软件供应链的风险排查，初见成效后，针对存量系统开展全面的软件供应链资产梳理、风险检测，通过技术检测+现场评估的方式，对源代码包、jar包、测试环境进行检测，输出针对所有测试对象的SBOM清单（软件物料清单）

第三步：控风险

搭建软件供应链安全风险管理平台，实现软件供应链资产台账统一管控、软件供应链风险可视、软件供应商评估管理。基于软件供应链风险管理平台，进行常态化风险检测，快速应急响应

深圳某政企单位软件供应链体系建设项目 icon

深圳市xx中心及下属局委办单位，使用的业务系统大部分都是通过合作单位采用外包开发的形式建设的;
外包开发商的安全开发体系欠缺、意识薄弱，缺少安全测试手段;
中心及局委办对于软件供应链的监督管理较弱，不会对外包开发提出一些定制化需求及安全要求
中心及局委办在软件交付及上线前采用的安全测试手段单一、滞后（基本渗透、漏扫）
中心缺乏针对各地局委办以及外包开发商的软件供应链安全管理制度和技术手段（开源风险、供应商管控）