6月20日，由安全牛編撰的《軟件成分分析（SCA）技術(shù)應(yīng)用指南》報告（以下簡稱《指南》）正式發(fā)布，該報告基于國內(nèi)SCA能力的市場供給情況、技術(shù)實現(xiàn)及工具成熟度進(jìn)行調(diào)研，圍繞SCA工具的功能特性、應(yīng)用挑戰(zhàn)、選型指導(dǎo)、場景實踐等進(jìn)行研究和分析，為企業(yè)SCA的普及和有效落地提供參考。安天入選《指南》代表性廠商，“安天SCA軟件組成分析的產(chǎn)品化解決方案”入選典型應(yīng)用案例。

安天融川軟件組成分析系統(tǒng)（簡稱“AntiySCA”）是安天自主研發(fā)的面向軟件產(chǎn)品全生命周期的安全開發(fā)監(jiān)測及安全風(fēng)險全鏈路管控和治理的關(guān)鍵產(chǎn)品，依托強(qiáng)大的漏洞排查能力以及多維度組件識別與分析方法，在開發(fā)階段能夠及時排查不安全的組件漏洞，降低開源組件、開發(fā)和構(gòu)建工具等漏洞對供應(yīng)鏈造成污染。在編碼實現(xiàn)和測試交付階段，AntiySCA能夠識別代碼庫中的開源軟件，分析組件間直接或間接依賴關(guān)系，同時可以溯源歷史漏洞及相關(guān)漏洞信息并提供相關(guān)組件漏斗的修復(fù)建議。

?

在報告發(fā)布會上，安天發(fā)表《安天融川軟件組成分析系統(tǒng)助力網(wǎng)絡(luò)安全提質(zhì)增效》主題演講，在匯報中安天指出：

?

安天SCA內(nèi)置強(qiáng)大的漏洞數(shù)據(jù)庫，不僅覆蓋NVD、CNNVD的漏洞數(shù)據(jù)，還具備大量的私有高質(zhì)量漏洞數(shù)據(jù)庫，還能夠覆蓋服務(wù)器定時掃描、軟件包漏洞持續(xù)檢測、軟件開發(fā)等多種場景。同時具備強(qiáng)大的開源組件識別能力，支持20多種常用語言，具備高質(zhì)量外部及內(nèi)部私有漏洞庫。并支持源碼工程、IoT固件、二進(jìn)制可執(zhí)行文件、以及常見的壓縮文件，和軟件物流清單國際標(biāo)準(zhǔn)格式如SPDX、CycloneDX、SWID的物料清單。

?

安天物聯(lián)網(wǎng)行業(yè)案例入選《指南》

?

01解決方案

從根本上解決某物聯(lián)網(wǎng)企業(yè)系統(tǒng)安全性問題，安天依據(jù)代碼安全及文件深度分析能力優(yōu)勢，從軟件開發(fā)和項目監(jiān)管兩個層面著手，為該企業(yè)提供了SCA軟件組成分析的產(chǎn)品化解決方案。

?

?在該項目中，安天將開源代碼倉庫GitLab工程和項目組進(jìn)行了集成，并在此基礎(chǔ)上進(jìn)一步提供IDE插件、上傳掃描、CI/CD接入等多種掃描方式，模擬真實的軟件構(gòu)建流程，提高了研發(fā)人員軟件安全的響應(yīng)速度。同時，安天提供項目維度的安全監(jiān)管趨勢，高發(fā)漏洞類型一目了然，有助于項目管理人員及時了解項目安全狀況。

?

安天用DevSecOps最佳方法來重塑軟件開發(fā)方法，縮短新軟件從規(guī)劃到生產(chǎn)的平均時間，提高軟件新發(fā)布和補(bǔ)丁在生產(chǎn)環(huán)境中部署的頻次，有效避免運行故障，實現(xiàn)全自動化風(fēng)險管理，并將安全屬性內(nèi)嵌入軟件系統(tǒng)中，為軟件提供有效的防護(hù)和加固，能夠及時應(yīng)對安全威脅。同時，改變軟件研發(fā)的組織文化，采取整體灌點，共擔(dān)軟件開發(fā)、安全和運維責(zé)任，提高軟件全生命周期的團(tuán)隊溝通和協(xié)作效率。

??

02方案優(yōu)勢

·??????? 支持源碼文件掃描，采用分析工具和專業(yè)人工審查，對系統(tǒng)源代碼進(jìn)行全面細(xì)致的安全審查，從根本上解決系統(tǒng)可能存在的漏洞、后門等安全問題；

?

·??????? 支持二進(jìn)制文件jar文件、elf文件的解析，利用碼文、CFG圖級別識別其中的已知漏洞，滿足用戶對上游SDK掃描的需求；

?

·??????? 與用戶開發(fā)環(huán)境中私有的Nexus鏡像、CI/CD環(huán)境相結(jié)合，快速排查代碼中的漏洞，并持續(xù)跟蹤和統(tǒng)計項目中的組件安全問題，為后續(xù)安全開發(fā)奠定基礎(chǔ)。

?

?

03用戶價值

·??????? 清晰化軟件供應(yīng)鏈風(fēng)險：
基于強(qiáng)大的二進(jìn)制可執(zhí)行文件、固件的組件分析和漏洞分析能力，幫助用戶識別、分析和處置上游軟件制品的成分安全問題。

·??????? 開發(fā)效率與安全兩不誤：
幫助用戶構(gòu)建軟件安全開發(fā)流程，從成本效益方面權(quán)衡了軟件開發(fā)的效率和安全。

?

·??????? 提升開發(fā)過程安全響應(yīng)速度：
支持模擬真實的軟件構(gòu)建流程，加強(qiáng)了過程中對軟件成分的管控，幫助用戶研發(fā)人員提高開發(fā)過程中的安全響應(yīng)速率。