面临挑战
软件供应链攻击事件频发,安全风险增加
近年来,软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成重大威胁。Gartner预测,到2025年全球45%的企业机构将遭遇软件供应链攻击,相比2021年增加了3倍。软件供应链安全直接关系着关键信息基础设施和重要信息系统的安全,保障软件供应链安全成为业界关注焦点和共同目标。
缺乏体系化的软件供应链安全治理方案
目前市面上传统的安全检测方式主要集中在采用渗透测试、代码审计服务,或者采用漏洞扫描器或白盒代码扫描器对交付物进行黑白盒态的安全扫描。这类传统的安全验收方式所能覆盖的检测场景和检测能力有限,并且无法生成交付软件的供应链资产台账(基础服务资产、API资产、三方云服务资产、三方组件资产、漏洞清单、敏感数据信息等)。需方没有有效技术手段了解对交付软件的依赖情况,导致后续的供应链事件爆发时的应急被动。
缺乏覆盖新型场景的安全治理能力
传统的安全验收方式对于云原生、物联网等新型应用场景无法提供更细粒度的安全检测能力(如IaC扫描、API安全检测等),更无法支撑甲方企业在自研、外包、外采等数字化系统建设模式下对软件供应链安全层面的管理要求,使得甲方企业缺少针对增量和存量的业务系统进行软件供应链风险排查的技术抓手。
核心功能
深入的软件成分风险分析
完整的软件资产图谱清单
灰白盒态的应用安全风险检测
对源码、软件安装包、测试环境进行软件成分风险分析,对直接引用的、完全自研的、引用修改的软件组件名称版本进行识别并提示,对组件风险进行检测告警,可视化展示软件成分风险等级、版本状态、开源许可证等信息。
核心优势
实现软件风险的可追溯性
在保证软件机密性、完整性、可用性的基础上,保障软件供应链信息具有一定的透明度,一旦软件供应链出现问题,能够及时准确实现问题定位和追溯,识别相关方实体,包括供应商、软件、组件乃至代码等。
实现软件成分的可审计性
保障软件供应链各环节中所处理信息的完整性、准确性和可靠性,缓解由于软件漏洞、后门、合规性等问题带来的软件供应链安全风险。
实现核心代码泄露风险的可控性
软件供应链安全检查工具箱的检查机制跟传统的代码审计不同,无需查看软件源码,是在软件运行状态下检查软件存在的真实风险,从而避免因代码审计造成的核心代码泄露风险。
应用场景
关基单位软件供应链安全
检测及应急联动方案
检测及应急联动方案
自研及外采软件供应链
风险一站式摸排
风险一站式摸排
政府行业软件供应链
安全检查方案
安全检查方案
以外包为主自研为辅的关基单位集团,通过工具箱可以开展软件供应链安全准入检测和软件供应链漏洞的紧急应急响应,建立一套上下级联动的供应链安全管理的机制。
即刻获取方案
咨询反馈
0571-57890068
market@moresec.cn
业务咨询:0571-57890068
售后服务/投诉:400-100-1372
邮箱:market@moresec.cn
总部:浙江省杭州市余杭区余杭塘路2616号
正勤·美培创意园3号楼
正勤·美培创意园3号楼
分支机构:北京、上海、广州、深圳以及其它二十余个省份
雳鉴IAST交互式应用安全检测系统
雳鉴SCA 软件成分分析系统
雳鉴SAST静态应用安全检测系统
雳鉴STAC威胁建模分析系统
雳鉴SSCRA软件供应链风险评估平台
火线云XDR安全运营平台
幻阵高级威胁狩猎与溯源系统
巡哨智能资产风险监控系统
刃甲网络攻击干扰压制系统
尚付云原生保护平台
宵明云安全态势管理平台
Copyright © 2016-2024 默安科技 All Rights Reserved 丨浙ICP16020926号| 浙公网安备33011002012022号