数字安全| 泰岳安全软件供应链安全分析平台识别应用系统中隐藏的风险
发布时间:2022-12-06 15:01:21 | 来源:中国网 | 作者:辛文 | 责任编辑:乔沐随着软件产业的快速发展,软件供应链也越发复杂多元,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重,具有影响范围广、产生危害大的特点。
泰岳安全软件供应链安全分析解决方案
泰岳安全软件供应链安全分析解决方案从:数据采集、软件成分分析、风险分析、预警联动处置四个关键步骤环节,通过自动化的技术手段,帮助企业对现网业务系统的软件资产进行摸底建档、对软件成分进行安全风险分析与预警,通过预警联动处置机制,全面提升软件供应链安全管理水平。
图 1泰岳安全软件供应链安全分析方案框架图
方案亮点
● 软件资产成分分析(SCA)
通过对软件资产进行成分分析,如同给软件进行了X光机照射,可以分析出软件系统的内部结构详情,如:WEB容器信息、运行环境信息(如JDK版本)、工程内各组件名称/版本信息、组件许可证信息等内容,生成软件物料清单 (SBOM)信息,能够有效地解决以往软件资产完全黑盒的情况,提高软件供应链的透明度。
● 支持在线、离线分析技术方式
在线方式:通过指令通道远程登录设备进行软件资产的基本信息采集,然后进行分析;
离线方式:对于不适用远程采集的场景(如重要生产环境),可在离线状态下由客户端程序对业务系统的组成成分进行分析;
● 软件组件漏洞情报预警
能够基于软件组成成分分析(SCA)的结果文件(软件物料清单)进行软件组件的漏洞风险分析与预警,可以精确、详细地反馈漏洞信息以及快速定位三方组件被引用的位置,帮助开发和运维人员快速定位和修复漏洞。
图 2基于SBOM进行风险信息分析,可有效定位风险组件
● 多维软件空间测绘
结合开源软件成分分析的结果数据、软件组件的安全风险分析结果数据、软件供应商数据以及资产基础信息,进行多维软件空间测绘与可视化,直观的展现软件供应链安全全貌。
图 4软件空间测绘