近期,开源网安的3款自研产品开源网安灰盒安全测试平台、开源组件安全及合规管理平台、开源网安代码审核平台均通过CWE国际兼容性认证。这表明开源网安的自研产品已登上国际舞台。
CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目,是全世界最具知名度和权威性的软件安全漏洞模式库。通过该认证表明产品能够支持国际上主要漏洞(缺陷)模式的检测,因此该认证作为产品的重要等级标志被用户和安全管理人员广泛认可。例如:Synopsys、Veracode、Checkmarx等众多国际一线厂商及机构相关产品均通过了CWE国际兼容性认证。
开源网安灰盒安全测试平台(VulHunter)作为公司在 IAST 领域的核心拳头产品,是国内首款基于“交互式应用安全测试(IAST)”技术的全新一代“灰盒”代码审计、安全测试和第三方软件检测产品,由开源网安自主研发,公司拥有完全的自主知识产权。IAST 是近年来兴起的一项新技术,被 Gartner 公司列为信息安全领域的 TOP10 技术之一。
其检测原理是通过在应用程序的字节码中动态插桩检测“探针”,来获取应用程序运行时的各种上下文信息。在应用程序运行时,实时分析程序的安全弱点。与基于 SAST 和 DAST 技术的产品相比,VulHunter 的最大不同点是通过字节码插桩应用程序获得更多准确的运行时信息。同时,VulHunter 融合 SAST 和 DAST 技术的优点,无需源码,支持对字节码的检测,极大地提高了安全测试的效率和准确率,准确率几乎可以达到 100%,高于业界其他同类产品。该产品适用于敏捷开发和 DevOps,可以在软件的开发和测试阶段无缝集成现有开发流程,让开发人员和测试人员在执行功能测试的同时,无感知地完成安全测试,解决了现有应用安全测试技术面临的挑战。
开源网安代码审核平台(CodeSec)是全新一代静态应用安全测试(SAST)解决方案,主要用于软件代码安全审核和质量分析,提供漏洞详情和修复方案,能够帮助开发和安全团队在开发阶段早期发现并修复漏洞,提升软件代码安全质量,实现“安全左移”,全面助力企业用户解决上述痛点问题;
图:CodeSec功能架构图
开源组件安全及合规管理平台(SourceCheck)是开源网安研发的软件成分分析SCA产品,用于第三方组件安全管控,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。
SourceCheck可实现自动化、无感知的对企业级软件资产信息收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及自研组件和程序代码的许可合规性进行检测。作为国内软件安全行业创领者,开源网安此次通过CWE国际兼容性认证是对开源网安在软件安全开发领域领先技术和深厚行业经验的肯定。自2013年成立以来,开源网安专注于软件安全开发领域,始终以自主创新为发展源动力。公司以清晰的市场策略和产品规划,自研软件安全产品、解决方案和服务已成功应用于多家金融、央企、政府、行业监管、国内软件百强等大型企业。多年来开源网安以捍卫中国软件安全为使命,以保障信创和新基建安全为己任,以提升企业软件产品安全与质量为目标。未来,开源网安将持续加大在开源领域的探索与创新,助力企业提升软件的安全与质量。武汉市网络安全协会会员单位:开源网安成立于2013年,总部在深圳,同时设有北京、上海、广州、武汉、成都、合肥均有分支机构。开源网安团队由来自惠普、华为等行业顶级的安全专家组成,团队成员从业经验均为10年以上。公司秉承“让企业交付更安全的软件”的核心理念,帮助企业提升产品的安全与质量。
开源网安作为国内“软件安全行业创领者”,向客户提供覆盖软件开发安全全生命周期的安全产品、解决方案、安全服务和安全培训,包含安全开发意识培训、安全需求、安全设计、安全开发、安全测试及安全交付的完整业务生态链。公司以系列化软件安全产品(IAST、SAST、SCA、FUZZ、RASP)和安全平台为核心,帮助客户实现软件产品快速交付的同时保障软件安全质量。
开源网安已经在金融、能源、政府监管、通讯、软件、教育等行业积累了大量成功案例,客户包含:平安银行、中信银行、微众银行、国信证券、中国石油、国家电网、南方电网、华为、百度、金蝶软件、碧桂园、IBM等大型企业,为客户提供软件开发过程中端到端安全解决方案。
