產品&服務

安恒信息發布軟件成分分析平臺，引領強基固鏈新風向

?前言??

黨的二十大報告提出，加快建設現代化經濟體系，著力提高全要素生產率，著力提升產業鏈供應鏈韌性和安全水平。隨著軟件業的快速發展，軟件設計架構復雜度不斷提升，軟件供應鏈也愈發復雜。大量的業務需求疊加，致使近年來軟件供應鏈安全事件頻繁發生，對用戶隱私、財產安全乃至國家安全造成重大威脅。為了更好地把握軟件供應鏈的發展趨勢，積極應對不斷出現的供應鏈攻擊安全治理難題，企業需要將安全嵌入整個軟件開發生命周期，即安全測試“左移”。因此，能夠幫助企業自動化分析軟件風險的“軟件成分分析平臺”應運而生。

安恒信息車聯網和中央研究院共同推出的“軟件成分分析平臺”是一款智能組件風險分析平臺（以下簡稱“DAS-SCA”），是面向軟件開發安全需求研發的基于軟件開發安全生命周期管理的組件風險檢測平臺。該平臺能夠在企業軟件開發期及上線后進行風險檢測和監測，形成軟件應用生命周期管理。DAS-SCA支持對源代碼、二進制等文件中的組件進行深層解析，實時監測0day風險。并基于機器學習技術，能夠對項目引用到的組件及漏洞進行高效深層分析。

DAS-SCA采用了深層的開源依賴分析、高效的軟件指紋分析、二進制0day風險分析、機器學習分析等分析技術，能夠對軟件中使用的開源組件進行快速精確識別，DAS-SCA將開源組件與漏洞進行自動關聯，能夠及時向企業推送影響其軟件安全的最新開源軟件漏洞情報。DAS-SCA支持與多類CICD工具集成。能夠無感知接入企業現有開發流程，幫助企業實現開發階段的風險組件生命周期閉環管理。

此外，安恒信息圍繞供應鏈安全建設能夠提供包括DAS-SDAP(開發安全一體化平臺)、供應鏈安全治理、供應鏈安全自查自糾、供應鏈安全情報以及安全運營等成熟的產品和服務，支持識別、收集、排查關鍵供應鏈，收集軟件供應商、技術檢測方、設計建設方、安全測試方、網絡運維方、安全產品供應商等角色相關信息，對供應鏈安全管理能力進行檢查，提升軟件安全質量落地軟件安全質量管理體系、協助企業在軟件發布后對發生在軟件和軟件補丁獲取渠道的軟件供應鏈安全事件、軟件安全漏洞披露事件進行快速的安全響應，控制和消除安全事件所帶來的安全威脅和不良影響，追溯和解決造成安全事件的根源所在等各項工作，涵蓋軟件采購、軟件開發使用、軟件交付、軟件運維等多個供應活動環節。

DAS-SCA通過幫助用戶快速發現并預警軟件中所存在的組件漏洞風險問題，同時提供相關修復方案、建議，幫助研發人員提升代碼質量，減輕安全人員重復工作的同時，降低了安全技術的門檻，做到軟件安全真正自主可控。此外，安恒信息與賽迪研究院共同落地了“軟件供應鏈安全研究聯合實驗室”將科研力量與企業實踐結合，為軟件供應鏈安全保駕護航，為國家數字經濟高質量發展貢獻力量。

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>