開源軟件存在怎樣的風險?
開源軟件具有迭代周期短、模塊數量多、生產線上化、供應全球化、倉儲集中化、邊際成本低等特性,且使用路徑包括第三方鏡像倉庫、網盤、論壇、代碼托管平臺等存在安全隱患的軟件源,極易引入未知風險,如篡改、漏洞、投毒/后門、維護性中斷、開源合規風險等。
如何進行開源軟件風險管理?
開源軟件風險管理主要包括對代碼漏洞、依賴性管理、安全維護、知識產權及合規性等多方面的綜合防范,為了有效管理這些風險,可以建立開源軟件安全審查機制、加強依賴性管理、提高安全維護意識、加強知識產權和合規性管理,同時,還可以借助政策和技術手段,打造以“政策+技術”雙驅動為核心的防范體系來有效保障開源軟件的安全。
產品簡介 | Product Introduction
核心功能 | Core functions
代碼漏洞檢測
基于深度學習算法實現,可用于快速精準的識別開源代碼中的潛在漏洞,同時借助基于漏洞知識圖譜的本地漏洞庫,可以科學的評估出現漏洞的危險等級,鎖定相應代碼段,為用戶提供切實可行的修復方案,并有效的幫助企業級項目開發提升信息安全能力和等級
許可證合規性
基于大規模數據庫和文本分類算法實現,可用于開源項目的許可證識別與沖突檢測,分析結果主要包括概要信息、許可證文件列表、許可證沖突列表以及許可證沖突詳情等內容,可為用戶提供準確可靠、清晰易懂、多維度多層次的許可證使用與條款級沖突檢測結果,支持GPL、MIT、木蘭寬松許可證等超3000種許可證
軟件成分分析
基于大規模文件掃描和文件匹配,可精準識別出項目中特定的配置文件,同時可解析各種復雜形式的依賴關系文件和配置文件,生成項目的軟件依賴成分列表和物料清單,包含組件信息、組件許可證信息,組件漏洞信息,利用開源成分分析自主開發的程度
漏洞情報知識庫
基于知識圖譜,通過不斷擴展的數據源,從漏洞的不用角度來豐富多維的漏洞視角,快速掌握漏洞影響范圍、影響軟件版本、影響代碼片段、CPE、修復版本、補丁、PoC、漏洞細節、緩解措施、安全公告、參考鏈接等,數據源領先,云端漏洞情報中心實時跟蹤全球情報源,將不同來源漏洞自動完成漏洞知識融合與糾錯
技術指標 | TECHNICAL INDEX
可支持的開源軟件開發語言等
|
C/C++
|
Java
|
JavaScript
|
C#
|
Python
|
PHP
|
Ruby
|
GO
|
Ruby
|
GO
可支持的開源軟件漏洞庫等
|
CVE
|
CNVD
|
CNNVD
可支持的開源軟件許可證等
|
GPL
|
BSD
|
LGPL
|
MIT
架構說明 | Architecture Description
API接口層
API網關
負載均衡
業務服務層
大規模高性能代碼掃描
開源軟件合規性分析
開源軟件安全情報共享與處置機制
業務服務層
代碼成分分析
組件分析
漏洞分析
代碼合規性檢測
組件監測
監測策略
告警
業務服務層
密碼安全分析
代碼缺陷檢測
知識產權分析
安全信息中心
安全情報信息挖掘
基礎服務層
服務
工具
基礎服務層
系統設置
系統監控
異步隊列
日志審計
輔助功能
數據層
數據緩存
事務
讀寫數據庫
緩存過期控制
文件讀寫
數據同步
數據庫
基礎數據庫
用戶及檢測數據庫
數據庫
開源代碼庫
漏洞信息庫
開源組件信息庫
開源組件依賴信息庫
開源許可證信息庫
閉源庫
用戶信息庫
檢測項目信息庫
運行環境
云服務器
獨立文件服務器
國產化支持
操作系統
中間件
