近日，中國(guó)信息通信研究院在2024全球數(shù)字經(jīng)濟(jì)大會(huì)—數(shù)字安全生態(tài)建設(shè)專題論壇正式發(fā)布首期《數(shù)字安全護(hù)航技術(shù)能力全景圖》（以下簡(jiǎn)稱全景圖）。

比瓴科技入選軟件供應(yīng)鏈安全賽道“開發(fā)流程安全管控、交互式安全測(cè)試、靜態(tài)安全測(cè)試、軟件成分分析”，并位居DevSecOps領(lǐng)域第一；覆蓋數(shù)字安全服務(wù)賽道“安全意識(shí)與培訓(xùn)、滲透測(cè)試/眾測(cè)、攻防演練、安全咨詢與規(guī)劃”。

中國(guó)信息通信研究院（以下簡(jiǎn)稱信通院）“數(shù)字安全護(hù)航計(jì)劃”為助推中國(guó)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展，助力數(shù)字中國(guó)建設(shè)提供有力支持，發(fā)起了全景圖的征集工作。比瓴此次入選雙賽道，代表了信通院對(duì)比瓴安全產(chǎn)品和安全服務(wù)在數(shù)字經(jīng)濟(jì)市場(chǎng)發(fā)展中能力成熟度、技術(shù)創(chuàng)新和行業(yè)貢獻(xiàn)的認(rèn)可。比瓴愿加入“數(shù)字安全護(hù)航計(jì)劃”，攜手信通院一起為數(shù)字安全貢獻(xiàn)力量，為數(shù)字經(jīng)濟(jì)的發(fā)展保駕護(hù)航。

開發(fā)安全運(yùn)營(yíng)一體化解決方案（DevSecOps）

當(dāng)今軟件開發(fā)的節(jié)奏日益加快，但安全與效率并非不可兼顧。比瓴科技DevsecOps咨詢服務(wù)致力于將安全與效率結(jié)合，幫助組織在實(shí)現(xiàn)軟件產(chǎn)品快速交付的同時(shí)，確保軟件安全性。

威脅識(shí)別

通過不斷更新和擴(kuò)展的資源庫(kù)，幫助項(xiàng)目組積極地識(shí)別和防范潛在的安全威脅，通過智能化的內(nèi)容整合和易于搜索的界面，快速獲取所需的安全信息，有效地提高開發(fā)過程的安全性和合規(guī)性。

態(tài)勢(shì)管理

與SCA、SAST、IAST等開發(fā)工具鏈無縫集成，與Git、Jenkins等開發(fā)工具鏈無縫集成，持續(xù)識(shí)別安全風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行量化和優(yōu)先級(jí)排序，提升安全活動(dòng)的自動(dòng)化水平，幫助組織有效分配資源，處理最嚴(yán)重的安全問題。

持續(xù)優(yōu)化

建立安全體系并不斷地改善和優(yōu)化，在不犧牲開發(fā)速度的前提下，提高應(yīng)用的安全性，減少未來安全事件的發(fā)生。

瓴鏡—軟件成分分析系統(tǒng)（SCA）

瓴鏡SCA系統(tǒng)支撐檢測(cè)評(píng)估業(yè)務(wù)場(chǎng)景，通過智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)獲取開源軟件信息及其相關(guān)漏洞信息，利用自主研發(fā)的開源軟件分析引擎為企業(yè)提供開源軟件資產(chǎn)識(shí)別、開源軟件安全風(fēng)險(xiǎn)分析、開源軟件漏洞告警及開源軟件安全管理等功能，幫助用戶掌握開源軟件資產(chǎn)信息，及時(shí)獲取開源軟件漏洞情報(bào)，降低由開源軟件帶來的安全風(fēng)險(xiǎn)，保障企業(yè)交付更安全的軟件。

基于包管理器的軟件成分分析技術(shù)

開源軟件識(shí)別與分析技術(shù)：瓴鏡SCA通過高自動(dòng)化和高準(zhǔn)確性的文件特征提取機(jī)模擬構(gòu)建分析引擎，快速生成全面且準(zhǔn)確的組件清單，并分析各組件的漏洞風(fēng)險(xiǎn)及許可證風(fēng)險(xiǎn)。

基于多鏈路的組件依賴分析技術(shù)

瓴鏡SCA基于多鏈路的組件依賴分析技術(shù)，結(jié)合擬構(gòu)建和開源數(shù)據(jù)核驗(yàn)，以圖形化展示提供清晰直觀的組件依賴關(guān)系圖。

漏洞可達(dá)性分析技術(shù)

瓴鏡SCA結(jié)合AST信息提取和開源組件知識(shí)庫(kù)，精確分析函數(shù)調(diào)用鏈和位置，憑借在國(guó)家級(jí)攻防演練中積累的漏洞利用規(guī)則庫(kù)，能夠清晰準(zhǔn)確地判斷組件的真實(shí)調(diào)用情況和漏洞的可達(dá)性。

基于AI的憑證檢測(cè)技術(shù)

瓴鏡SCA通過靜態(tài)匹配規(guī)則、熵字符串檢索和機(jī)器學(xué)習(xí)算法，綜合檢測(cè)應(yīng)用程序中的敏感數(shù)據(jù)，有效識(shí)別和保護(hù)顯式及隱式存儲(chǔ)的憑證信息，以防止數(shù)據(jù)泄露。

瓴域—安全開發(fā)管理系統(tǒng)（SDLM）

安全開發(fā)管理系統(tǒng)，旨在為客戶提供統(tǒng)一的安全開發(fā)全生命周期管理服務(wù)，幫助客戶建立起高效敏捷的開發(fā)安全管控體系。平臺(tái)打通項(xiàng)目和應(yīng)用系統(tǒng)各階段（立項(xiàng)、設(shè)計(jì)、開發(fā)、上線/變更、運(yùn)行）中安全管控及安全檢測(cè)節(jié)點(diǎn)，進(jìn)行安全開發(fā)全流程整合，從而實(shí)現(xiàn)安全開發(fā)管控全流程工作效率可看見、可管理、可提升；同時(shí)平臺(tái)利用收集到開發(fā)過程中的執(zhí)行數(shù)據(jù)，形成項(xiàng)目安全畫像及應(yīng)用安全畫像，從各種維度綜合展現(xiàn)項(xiàng)目及應(yīng)用安全開發(fā)態(tài)勢(shì)，為安全運(yùn)營(yíng)提供數(shù)據(jù)支持。

瓴鏡—源代碼安全審計(jì)系統(tǒng)（SAST）

瓴鏡-源代碼安全審計(jì)系統(tǒng)是采用領(lǐng)先的源代碼靜態(tài)分析技術(shù)開發(fā)的一款針對(duì)源代碼缺陷進(jìn)行靜態(tài)分析檢測(cè)的產(chǎn)品。它在對(duì)目標(biāo)軟件代碼進(jìn)行語法、語義分析的技術(shù)上，輔以數(shù)據(jù)流分析、控制流分析和特有的缺陷分析算法等高級(jí)靜態(tài)分析手段，能夠高效的檢測(cè)出軟件源代碼中的可能導(dǎo)致嚴(yán)重缺陷漏洞和系統(tǒng)運(yùn)行異常的安全問題和程序缺陷，并準(zhǔn)確定位告警，從而有效的幫助開發(fā)人員消除代碼中的缺陷、減少不必要的軟件補(bǔ)丁升級(jí)，為軟件的信息安全保駕護(hù)航。

瓴鏡—交互式應(yīng)用安全檢測(cè)系統(tǒng)（IAST）

瓴鏡交互式應(yīng)用安全檢測(cè)系統(tǒng)在應(yīng)用上線前必不可少的安全工具，專門用于發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。其最大的特點(diǎn)在于采用了一種獨(dú)特的“被動(dòng)插樁模式”，這意味著它不會(huì)對(duì)正在運(yùn)行的系統(tǒng)或應(yīng)用程序產(chǎn)生任何干擾或產(chǎn)生不必要的數(shù)據(jù)。用戶在使用時(shí)，只需通過簡(jiǎn)潔的管理界面進(jìn)行項(xiàng)目配置，系統(tǒng)便會(huì)自動(dòng)開始對(duì)應(yīng)用程序的數(shù)據(jù)流進(jìn)行分析。這種分析是實(shí)時(shí)的，能夠在應(yīng)用程序運(yùn)行時(shí)捕捉到任何可疑行為或漏洞。一旦檢測(cè)到潛在的安全漏洞，系統(tǒng)會(huì)立即向用戶發(fā)出警報(bào)，并為用戶提供詳細(xì)的漏洞信息和解決方案。

對(duì)于開發(fā)團(tuán)隊(duì)來說，這個(gè)工具不僅僅是發(fā)現(xiàn)漏洞，更是修復(fù)漏洞的利器。系統(tǒng)會(huì)提供一個(gè)已驗(yàn)證的漏洞列表，這些漏洞都是經(jīng)過系統(tǒng)嚴(yán)格檢測(cè)并確認(rèn)存在的。開發(fā)人員可以根據(jù)這個(gè)列表，實(shí)時(shí)修復(fù)代碼中的問題，確保應(yīng)用程序的安全性。

安全培訓(xùn)服務(wù)

安全培訓(xùn)服務(wù)面向開發(fā)人員、測(cè)試人員和管理人員等角色，幫助他們了解應(yīng)用安全的基本原則、最佳實(shí)踐和常見威脅，提高整體安全意識(shí)和技能水平。

滲透測(cè)試服務(wù)

滲透測(cè)試服務(wù)通過模擬真實(shí)攻擊者的攻擊行為，發(fā)現(xiàn)應(yīng)用程序中存在的安全漏洞和弱點(diǎn)，幫助組織識(shí)別和修復(fù)潛在的安全風(fēng)險(xiǎn)，加強(qiáng)應(yīng)用程序抵御惡意攻擊的能力。

攻防演練及紫隊(duì)服務(wù)

攻防演練及紫隊(duì)服務(wù)通過模擬實(shí)戰(zhàn)攻擊和防守的方式，發(fā)現(xiàn)組織存在的管理、技術(shù)方面的安全問題，提高組織整體安全建設(shè)水平。

安全開發(fā)成熟度評(píng)估咨詢

安全開發(fā)成熟度評(píng)估咨詢服務(wù)幫助組織客觀評(píng)估安全開發(fā)成熟度水平，通過量化數(shù)據(jù)了解安全開發(fā)現(xiàn)狀以及對(duì)應(yīng)的成熟度水平，為補(bǔ)齊安全開發(fā)短板和成熟度提升做好準(zhǔn)備。

安全開發(fā)成熟度提升咨詢

安全開發(fā)成熟度提升咨詢服務(wù)幫助組織提升安全開發(fā)成熟度水平，確保開發(fā)過程落實(shí)安全控制措施，降低安全風(fēng)險(xiǎn)，提高軟件質(zhì)量。

APP安全認(rèn)證咨詢

比瓴科技根據(jù)GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》幫助組織提升自身能力，通過中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心（CCRC）的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證。

DevSecOps認(rèn)證咨詢

比瓴科技根據(jù)YDT 3763.6-2021《研發(fā)運(yùn)營(yíng)一體化（DevOps）能力成熟度模型第6部分：安全及風(fēng)險(xiǎn)管理》（DevSecOps）幫助組織提升自身能力，通過中國(guó)信息通信研究院的DevSecOps能力成熟度評(píng)估。

比瓴科技專注于軟件供應(yīng)鏈安全領(lǐng)域，以AI和數(shù)據(jù)為核心提供覆蓋全場(chǎng)景的軟件供應(yīng)鏈安全產(chǎn)品和安全咨詢服務(wù)。打通應(yīng)用安全數(shù)據(jù)孤島，實(shí)現(xiàn)安全運(yùn)營(yíng)過程自動(dòng)化，增強(qiáng)應(yīng)用軟件資產(chǎn)風(fēng)險(xiǎn)可視性，為軟件安全保駕護(hù)航。

“詳細(xì)內(nèi)容見官網(wǎng)：比瓴科技”。

繼續(xù)閱讀：大數(shù)據(jù)   大模型

星空人工智能技術(shù)網(wǎng) 倡導(dǎo)尊重與保護(hù)知識(shí)產(chǎn)權(quán)。如發(fā)現(xiàn)本站文章存在版權(quán)等問題，煩請(qǐng)30天內(nèi)提供版權(quán)疑問、身份證明、版權(quán)證明、聯(lián)系方式等發(fā)郵件至1851688011@qq.com我們將及時(shí)溝通與處理。！：首頁(yè) > 新聞 » 信通院全景圖發(fā)布 比瓴科技領(lǐng)跑軟件供應(yīng)鏈安全，多領(lǐng)域覆蓋數(shù)字安全服務(wù)