元態(tài)開源代碼風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)是安軟研發(fā)團(tuán)隊(duì)秉承“安全左移”的理念
秉承“安全左移”的理念
基于多年的開源軟件、開源合規(guī)和
漏洞數(shù)據(jù)的積累
通過多種行業(yè)領(lǐng)先的算法打造出安全、合規(guī)、高
效、易用的軟件成分分析系統(tǒng)
旨在幫助各類組織機(jī)構(gòu)不斷提升軟件資產(chǎn)安全程度
支持依據(jù)代碼片段或特征文件進(jìn)行檢測,發(fā)現(xiàn)不同方式引入的開源組件,以及開源組件的詳細(xì)信息,如:組件匹配度、匹配方式、原始URL、最新版本號(hào)、組件許可證、組件依賴、使用的加密算法、更新時(shí)間、供應(yīng)商、組件版權(quán)
持組件和代碼級別的漏洞識(shí)別,直觀展示漏洞引入路徑、精確定位風(fēng)險(xiǎn)、分析影響范圍,對新的安全風(fēng)險(xiǎn)第一時(shí)間預(yù)警,同時(shí)給出詳細(xì)的漏洞信息,如:CVE編號(hào)、CWE編號(hào)、CWE名稱、漏洞等級、CVSS3評分、是否存在可利用POC、威脅類型、受影響實(shí)體等來評估漏洞危害
精確識(shí)別開源組件許可證、文件許可證、項(xiàng)目許可證,支持多許可證與無許可證聲明的掃描,提供許可證條款解讀,持續(xù)監(jiān)控上游軟件使用的許可證變更,提供實(shí)時(shí)預(yù)警;識(shí)別組件使用的加密算法;支持自定義許可證檢測告警策略
支持依據(jù)企業(yè)業(yè)務(wù)情況對掃描結(jié)果進(jìn)行審計(jì),可生成HTML、JSON等格式檢測報(bào)告,支持自定義檢測策略并依據(jù)自定義策略對存在的安全風(fēng)險(xiǎn)組件、合規(guī)風(fēng)險(xiǎn)組件、可更新組件等進(jìn)行告警
產(chǎn)品提供外部API接口,能與買方現(xiàn)有各類管理系統(tǒng)實(shí)現(xiàn)對接,方便用戶集成到自己管理系統(tǒng)等
采用“私有云”+分布式集群的架構(gòu)方式,WEB式用戶界面簡單、方便,用戶操作靈活、高效
通過系統(tǒng)對協(xié)議的理解,并且基于剪枝和狀態(tài)機(jī)的半黑盒模糊協(xié)議測試
可支持Java、.NET、JSP、PHP、ASP、HTML5、JavaScript、SQL等20多種編程語言
旨在幫助各類組織機(jī)構(gòu)不斷提升軟件資產(chǎn)安全程度
支持所有語言的代碼掃描
自定義引擎實(shí)現(xiàn)編排與自動(dòng)化響應(yīng)
業(yè)內(nèi)領(lǐng)先的掃描速度
代碼加密識(shí)別,(代碼加密識(shí)別,無代碼泄露風(fēng)險(xiǎn))
多種掃描引擎識(shí)別不同方式引入的開源組件
全面識(shí)別版本許可證、組建許可證以及文件許可證,分析開源合規(guī)風(fēng)險(xiǎn)
支持CI/CD集成,嵌入到企業(yè)代碼研發(fā)過程中,從設(shè)計(jì)到發(fā)布全流程深入探測風(fēng)險(xiǎn)
符合國際認(rèn)可的軟件物料清單標(biāo)準(zhǔn)
