行業(yè)背景

隨著計(jì)算機(jī)技術(shù)的發(fā)展，開源軟件的使用率正在平衡快速增長，在軟件開發(fā)過程中使用開源軟件時(shí)，不應(yīng)僅僅關(guān)注開源軟件的功能，還應(yīng)把安全作為重要因素納入考量。SmartRocket Scanner專注于通過軟件生命周期開源安全與合規(guī)分析管理平臺(tái)識別并規(guī)避相關(guān)開源風(fēng)險(xiǎn)，提供全面的解決方案，幫助企業(yè)實(shí)現(xiàn)開源的安全性，確保其產(chǎn)品和服務(wù)的安全，建立一個(gè)健康的開源軟件生態(tài)系統(tǒng)。

產(chǎn)品概述

SmartRocket Scanner是一款開源組件成分資產(chǎn)安全與合規(guī)分析管理工具，基于左移安全、DevSecOps、實(shí)時(shí)監(jiān)控的安全理念，在軟件生命周期中對開源軟件和依賴組件進(jìn)行持續(xù)自動(dòng)化識別、組件清單管理、安全風(fēng)險(xiǎn)分析與漏洞修復(fù)、許可證風(fēng)險(xiǎn)分析、持續(xù)集成管理、用戶庫管理等，并與第三方開發(fā)工具無縫集成，實(shí)現(xiàn)自動(dòng)化的安全分析、策略執(zhí)行、持續(xù)集成以及實(shí)時(shí)監(jiān)控，針對新的漏洞及時(shí)響應(yīng)與定向通知。工具適用于敏捷開發(fā)/流水線/安全左移等持續(xù)管理與監(jiān)測平臺(tái)，來通過產(chǎn)品解決方案幫助企業(yè)解決對開源軟件維護(hù)、管理不善而產(chǎn)生的問題等。

產(chǎn)品功能

01 深入式分析

多維度代碼靜態(tài)掃描、依賴包掃描、代碼同源掃描、鏡像掃描，進(jìn)行透徹行分析。

02 高效漏洞修復(fù)

精確分析定位并提供漏洞級解決方案或緩解措施，為風(fēng)險(xiǎn)評估提供詳細(xì)信息。

03 許可證合規(guī)性

提供全方位的開源許可證識別、風(fēng)險(xiǎn)分析、溯源分析和兼容性分析。

04 持續(xù)監(jiān)控溯源

系統(tǒng)知識庫每日更新，及時(shí)發(fā)現(xiàn)新漏洞影響組件與項(xiàng)目，定向推送與響應(yīng)。

05 技術(shù)無縫對接

提供豐富的插件、APIs或第三方接口，無縫集成至客戶DevOps系統(tǒng)。

06 定制化開發(fā)

高效率的研發(fā)服務(wù)團(tuán)隊(duì)，可針對客戶的特定需求進(jìn)行快速定制化開發(fā)。

產(chǎn)品優(yōu)勢

01 動(dòng)態(tài)安全版本推薦

提供動(dòng)態(tài)解決方案，選擇與用戶使用版本最近的安全版本進(jìn)行推薦升級，保證兼容性，若多個(gè)漏洞屬于同一組件則會(huì)推薦統(tǒng)一版本進(jìn)行修復(fù)。

02 靈活自建依賴庫

支持企業(yè)自主構(gòu)建漏洞庫及開源軟件知識庫，項(xiàng)目能及時(shí)檢測出是否引入該依賴或漏洞，同時(shí)工具提供開放的API，支持靈活的客戶化定制。

03 全方位組件防火墻

用戶可基于漏洞風(fēng)險(xiǎn)等級、許可證、組件黑白名單設(shè)置規(guī)則，自動(dòng)阻止有風(fēng)險(xiǎn)的組件進(jìn)入私有倉庫，防止問題組件進(jìn)入軟件開發(fā)生命周期。

04 高效率敏捷開發(fā)

支持在編碼過程中發(fā)現(xiàn)代碼問題并定位到行，快速給出修復(fù)建議，在構(gòu)建階段根據(jù)用戶自定義規(guī)則進(jìn)行自動(dòng)化策略執(zhí)行，及時(shí)阻斷實(shí)現(xiàn)安全左移。

05 數(shù)據(jù)可視化工作臺(tái)

為管理團(tuán)隊(duì)提供整個(gè)企業(yè)的開源資產(chǎn)可視化大屏，清楚掌握所使用的開源組件、開源漏洞、漏洞變化趨勢等，直觀統(tǒng)計(jì)并協(xié)助企業(yè)管理安全資產(chǎn)。

06 實(shí)時(shí)監(jiān)控與精準(zhǔn)推送

實(shí)時(shí)監(jiān)控開源軟件漏洞情報(bào)，關(guān)聯(lián)用戶的相關(guān)項(xiàng)目，做到及時(shí)響應(yīng)，提供郵件和釘釘?shù)仁聞?wù)跟蹤工具配置，進(jìn)行定向提醒、精準(zhǔn)推送問題信息。

成果應(yīng)用

01 汽車制造商

隨著嵌入式軟件開發(fā)的快速發(fā)展，汽車行業(yè)也在不斷引入開源軟件和第三方依賴組件的使用。但大多數(shù)企業(yè)缺乏針對軟件生命周期的開源軟件安全管理，缺乏“早發(fā)現(xiàn)、早檢測、早修復(fù)、早管理”的產(chǎn)品理念，使得開源軟件和依賴組件的漏洞被引入到軟件中。Scanner可以在風(fēng)險(xiǎn)管理、開發(fā)階段、測試階段及時(shí)發(fā)現(xiàn)漏洞，做到安全左移，并在軟件運(yùn)行階段監(jiān)控開源軟件漏洞情報(bào)，關(guān)聯(lián)相關(guān)項(xiàng)目，做到及時(shí)響應(yīng)。

02 軟件開發(fā)商

當(dāng)前混源軟件開發(fā)已經(jīng)成為主要的軟件開發(fā)方式之一?；煸窜浖_發(fā)雖然為軟件開發(fā)商帶來了極大便利，提高了開發(fā)效率，降低了開發(fā)成本，但由于其在開發(fā)過程中對開源軟件的依賴和引用關(guān)系較為復(fù)雜，使其安全性缺少審查和管理，也因此增加了軟件供應(yīng)鏈的復(fù)雜性和安全風(fēng)險(xiǎn)。Scanner能從組件成分分析中識別使用開源代碼的方式，包括完整引用開源項(xiàng)目、引用部分開源項(xiàng)目源文件、引用開源代碼片段，以改善開源軟件成分“臟亂差”問題。

03 金融業(yè)

金融行業(yè)對開源許可風(fēng)險(xiǎn)不可忽視，除了信息安全風(fēng)險(xiǎn)，開源軟件還可能引入知識產(chǎn)權(quán)風(fēng)險(xiǎn)。由于開源軟件依賴關(guān)系的復(fù)雜性，在使用開源軟件時(shí)，不同的開源軟件許可證之間可能存在合規(guī)性和兼容性風(fēng)險(xiǎn)，從而導(dǎo)致知識產(chǎn)權(quán)風(fēng)險(xiǎn)。Scanner從開源許可證識別、開源許可證風(fēng)險(xiǎn)分析、開源許可證溯源分析以及開源許可證兼容性分析等多個(gè)維度全方面地保障金融企業(yè)安全，防止風(fēng)險(xiǎn)傳遞，保障軟件生命周期的安全。