行業(yè)背景

隨著計(jì)算機(jī)技術(shù)的發(fā)展，開(kāi)源軟件的使用率正在平衡快速增長(zhǎng)，在軟件開(kāi)發(fā)過(guò)程中使用開(kāi)源軟件時(shí)，不應(yīng)僅僅關(guān)注開(kāi)源軟件的功能，還應(yīng)把安全作為重要因素納入考量。SmartRocket Scanner專注于通過(guò)軟件生命周期開(kāi)源安全與合規(guī)分析管理平臺(tái)識(shí)別并規(guī)避相關(guān)開(kāi)源風(fēng)險(xiǎn)，提供全面的解決方案，幫助企業(yè)實(shí)現(xiàn)開(kāi)源的安全性，確保其產(chǎn)品和服務(wù)的安全，建立一個(gè)健康的開(kāi)源軟件生態(tài)系統(tǒng)。

產(chǎn)品概述

SmartRocket Scanner是一款開(kāi)源組件成分資產(chǎn)安全與合規(guī)分析管理工具，基于左移安全、DevSecOps、實(shí)時(shí)監(jiān)控的安全理念，在軟件生命周期中對(duì)開(kāi)源軟件和依賴組件進(jìn)行持續(xù)自動(dòng)化識(shí)別、組件清單管理、安全風(fēng)險(xiǎn)分析與漏洞修復(fù)、許可證風(fēng)險(xiǎn)分析、持續(xù)集成管理、用戶庫(kù)管理等，并與第三方開(kāi)發(fā)工具無(wú)縫集成，實(shí)現(xiàn)自動(dòng)化的安全分析、策略執(zhí)行、持續(xù)集成以及實(shí)時(shí)監(jiān)控，針對(duì)新的漏洞及時(shí)響應(yīng)與定向通知。工具適用于敏捷開(kāi)發(fā)/流水線/安全左移等持續(xù)管理與監(jiān)測(cè)平臺(tái)，來(lái)通過(guò)產(chǎn)品解決方案幫助企業(yè)解決對(duì)開(kāi)源軟件維護(hù)、管理不善而產(chǎn)生的問(wèn)題等。

產(chǎn)品功能

01 深入式分析

多維度代碼靜態(tài)掃描、依賴包掃描、代碼同源掃描、鏡像掃描，進(jìn)行透徹行分析。

02 高效漏洞修復(fù)

精確分析定位并提供漏洞級(jí)解決方案或緩解措施，為風(fēng)險(xiǎn)評(píng)估提供詳細(xì)信息。

03 許可證合規(guī)性

提供全方位的開(kāi)源許可證識(shí)別、風(fēng)險(xiǎn)分析、溯源分析和兼容性分析。

04 持續(xù)監(jiān)控溯源

系統(tǒng)知識(shí)庫(kù)每日更新，及時(shí)發(fā)現(xiàn)新漏洞影響組件與項(xiàng)目，定向推送與響應(yīng)。

05 技術(shù)無(wú)縫對(duì)接

提供豐富的插件、APIs或第三方接口，無(wú)縫集成至客戶DevOps系統(tǒng)。

06 定制化開(kāi)發(fā)

高效率的研發(fā)服務(wù)團(tuán)隊(duì)，可針對(duì)客戶的特定需求進(jìn)行快速定制化開(kāi)發(fā)。

產(chǎn)品優(yōu)勢(shì)

01 動(dòng)態(tài)安全版本推薦

提供動(dòng)態(tài)解決方案，選擇與用戶使用版本最近的安全版本進(jìn)行推薦升級(jí)，保證兼容性，若多個(gè)漏洞屬于同一組件則會(huì)推薦統(tǒng)一版本進(jìn)行修復(fù)。

02 靈活自建依賴庫(kù)

支持企業(yè)自主構(gòu)建漏洞庫(kù)及開(kāi)源軟件知識(shí)庫(kù)，項(xiàng)目能及時(shí)檢測(cè)出是否引入該依賴或漏洞，同時(shí)工具提供開(kāi)放的API，支持靈活的客戶化定制。

03 全方位組件防火墻

用戶可基于漏洞風(fēng)險(xiǎn)等級(jí)、許可證、組件黑白名單設(shè)置規(guī)則，自動(dòng)阻止有風(fēng)險(xiǎn)的組件進(jìn)入私有倉(cāng)庫(kù)，防止問(wèn)題組件進(jìn)入軟件開(kāi)發(fā)生命周期。

04 高效率敏捷開(kāi)發(fā)

支持在編碼過(guò)程中發(fā)現(xiàn)代碼問(wèn)題并定位到行，快速給出修復(fù)建議，在構(gòu)建階段根據(jù)用戶自定義規(guī)則進(jìn)行自動(dòng)化策略執(zhí)行，及時(shí)阻斷實(shí)現(xiàn)安全左移。

05 數(shù)據(jù)可視化工作臺(tái)

為管理團(tuán)隊(duì)提供整個(gè)企業(yè)的開(kāi)源資產(chǎn)可視化大屏，清楚掌握所使用的開(kāi)源組件、開(kāi)源漏洞、漏洞變化趨勢(shì)等，直觀統(tǒng)計(jì)并協(xié)助企業(yè)管理安全資產(chǎn)。

06 實(shí)時(shí)監(jiān)控與精準(zhǔn)推送

實(shí)時(shí)監(jiān)控開(kāi)源軟件漏洞情報(bào)，關(guān)聯(lián)用戶的相關(guān)項(xiàng)目，做到及時(shí)響應(yīng)，提供郵件和釘釘?shù)仁聞?wù)跟蹤工具配置，進(jìn)行定向提醒、精準(zhǔn)推送問(wèn)題信息。

成果應(yīng)用

01 汽車制造商

隨著嵌入式軟件開(kāi)發(fā)的快速發(fā)展，汽車行業(yè)也在不斷引入開(kāi)源軟件和第三方依賴組件的使用。但大多數(shù)企業(yè)缺乏針對(duì)軟件生命周期的開(kāi)源軟件安全管理，缺乏“早發(fā)現(xiàn)、早檢測(cè)、早修復(fù)、早管理”的產(chǎn)品理念，使得開(kāi)源軟件和依賴組件的漏洞被引入到軟件中。Scanner可以在風(fēng)險(xiǎn)管理、開(kāi)發(fā)階段、測(cè)試階段及時(shí)發(fā)現(xiàn)漏洞，做到安全左移，并在軟件運(yùn)行階段監(jiān)控開(kāi)源軟件漏洞情報(bào)，關(guān)聯(lián)相關(guān)項(xiàng)目，做到及時(shí)響應(yīng)。

02 軟件開(kāi)發(fā)商

當(dāng)前混源軟件開(kāi)發(fā)已經(jīng)成為主要的軟件開(kāi)發(fā)方式之一。混源軟件開(kāi)發(fā)雖然為軟件開(kāi)發(fā)商帶來(lái)了極大便利，提高了開(kāi)發(fā)效率，降低了開(kāi)發(fā)成本，但由于其在開(kāi)發(fā)過(guò)程中對(duì)開(kāi)源軟件的依賴和引用關(guān)系較為復(fù)雜，使其安全性缺少審查和管理，也因此增加了軟件供應(yīng)鏈的復(fù)雜性和安全風(fēng)險(xiǎn)。Scanner能從組件成分分析中識(shí)別使用開(kāi)源代碼的方式，包括完整引用開(kāi)源項(xiàng)目、引用部分開(kāi)源項(xiàng)目源文件、引用開(kāi)源代碼片段，以改善開(kāi)源軟件成分“臟亂差”問(wèn)題。

03 金融業(yè)

金融行業(yè)對(duì)開(kāi)源許可風(fēng)險(xiǎn)不可忽視，除了信息安全風(fēng)險(xiǎn)，開(kāi)源軟件還可能引入知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。由于開(kāi)源軟件依賴關(guān)系的復(fù)雜性，在使用開(kāi)源軟件時(shí)，不同的開(kāi)源軟件許可證之間可能存在合規(guī)性和兼容性風(fēng)險(xiǎn)，從而導(dǎo)致知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。Scanner從開(kāi)源許可證識(shí)別、開(kāi)源許可證風(fēng)險(xiǎn)分析、開(kāi)源許可證溯源分析以及開(kāi)源許可證兼容性分析等多個(gè)維度全方面地保障金融企業(yè)安全，防止風(fēng)險(xiǎn)傳遞，保障軟件生命周期的安全。