在云原生时代,如何打造自己的开源组件安全治理体系?

发表时间: 2023-10-30 10:36

云原生安全既是一种全新安全理念,也是实现云战略的前提。

基于蚂蚁集团内部多年实践,云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代码扫描Pinpoint,软件成分分析SCA,交互式安全测试IAST,运行时防护RASP,安全洞察Appinsight等,帮助企业客户应用软件实现『发布前检测,运行时免疫』。

本周,我们将持续分享解读四大产品。」

数字化时代软件已经成为人类社会基础设施的重要组成部分,软件与个人生活、社会民生、国家发展均日渐紧密,如何更好的保障软件安全成为各行业关注的焦点。

相关数据显示,75%的黑客攻击发生在应用层。一款软件产品从开发,测试,上线,在各个阶段均存在引入安全风险的可能,例如危险开源组件的使用、自研代码缺陷漏洞引入、容器镜像漏洞引入等。这些风险会导致软件系统的整体安全防护难度越来越大,以上这些风险,统称为软件供应链安全风险。

SOFAStack静态代码安全扫描产品Pinpoint是国内应用实践最广泛的静态代码安全产品之一,近期首批入选中国信通院「软件供应链安全」产品名录,并通过了公安部计算机信息系统安全产品质量监督检测中心权威测评,符合《信息安全技术软件源代码安全缺陷产品检测条件》相关要求。

左移测试,Pinpoint实现静态代码扫描

静态代码扫描是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对软件代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。

五大优势,快速完成百万行代码检测

SOFAStack静态代码安全扫描产品Pinpoint通过自研的分析引擎技术,能够在均衡分析精度、速度、深度的同时得到较好的分析结果。产品无需构造测试用例,即可自动寻找软件编码错误,可以让程序员迅速理解和修复问题,从而投入更多的时间到创造性的工作中。

  • 分析能力精准:Pinpoint采用了更为先进的静态分析技术,能找到更多和更难以人工找到的软件问题。这主要得益于Pinpoint独创的符号约束模型,高精度的指针分析和快速的约束求解算法,能对大型软件进行精确的全路径和深度的函数调用上下文分析,减少误报产生。
  • 覆盖全面:Pinpoint的分析能力覆盖完整系统,进行跨模块跨函数的全文分析。多套分析引擎可同时覆盖代码安全漏洞,代码质量缺陷,代码风格合规等分析场景。
  • 分析快速:对于动辄上百万行代码,且每分钟都在更新的大型软件而言,极难做到快速反应。Pinpoint采取多档位扫描技术,用轻量级分析,快速查找逻辑相对简单的错误。根据测试,对于Java代码,Pinpoint能在1小时内完成百万行代码级别的项目分析。
  • 适应不同分析场景:Pinpoint是市面上唯一一款可覆盖源代码扫描,二进制审计,应用依赖审计三种分析方式的静态分析产品。适应系统外包开发,系统内部开发,系统增量部署,中间件封装等多种开发场景。对于没有代码的应用,Pinpoint能够基于反编译后的代码进行展示,达到函数级别的代码匹配。
  • 易于理解和修复的缺陷解释:在具有优越的找错能力的同时,Pinpoint 能够给出准确的错误触发路径,以此来助力程序员理解和修复发现的软件问题。

典型案例:金融、制造多领域落地应用

目前,Pinpoint产品已经在金融、制造、教育、互联网等行业规模化落地实践,包括南京银行、浙江农信、中泰证券、珠海格力、广东电网等。

中泰证券,Pinpoint产品与中泰自研蜂鸟效能平台项目进行对接,在集成构建阶段,实现源代码的自动化扫描,满足证券行业《证券公司网络和信息安全三年提升计划(2023-2025)》相关要求。

在广东电网信息测评实验室,Pinpoint支撑了ARM架构下运行的程序的源代码分析工作,支持源代码扫描与分析、代码扫描策略配置、缺陷管理、安全知识库等功能,帮助实验室建立了自主可控操作系统下的源代码分析的能力,完成多编程语言的源代码安全缺陷分析工作。

珠海格力,基于Pinpoint增强的C/C++扫描能力,产品支持格力在嵌入式场景下错误异常处理,逻辑错误,内存与资源误用等问题检测,满足中国电子行业软件测试标准SJ/T 11682-2017(C/C++)标准,帮助格力更好的进行智能装备关键技术及产品的研发。