软件成分分析:手握 5 大能力守护软件供应链安全
本文分享自华为云社区《华为云重磅发布开源软件治理服务——软件成分分析》,作者:华为云 PaaS 服务小智。
软件成分分析,指通过对软件源码、二进制软件包等的静态分析,挖掘其所存在的开源合规、已知漏洞等安全合规风险,是一种业界常见的安全测试手段;近日华为云凭借软件成分分析产品及技术领先优势,通过信通院测评,荣获开源治理工具评估认证。
铸就开源治理利器,守护您的软件供应链安全
无需依赖源码
用户只需上传二进制软件包/固件,服务会采用静态检测技术,不用构建运行环境,不用运行程序即可快速分析二进制软件包/固件中存在的安全风险问题,并输出一份专业的分析报告。
与被测对象的架构平台无关
支持桌面(Windows 和 Linux)应用、移动应用程序(APK、IPA、Hap 等)、嵌入式系统固件(u-boot、Android sparse 等)等。
主流编程语言支持全面
支持 C/C++、Java、Go、Python、JavaScript、Rust 等,覆盖语种持续增加
主动管理威胁
依托工具实时完善的漏洞库能力,主动管理历史扫描软件 BOM 中新发现的漏洞告警。
风险检测能力强,规则持续增加
对用户发布包/固件包中存在的风险提供全面快速的排查能力,涵盖开源软件风险、信息泄露风险、配置类风险 3 大类 26 小类检查项,检测规则持续增加。
通过信通院测评,荣获开源治理工具评估认证
可信开源治理工具(SCA)作为可信开源中最重要的检测工具,为企业和评估机构对软件产品是否安全规范的使用开源软件提供了一个自动化的检测能力和可量化、可视化的检测结果。
在今年 5 月“OSCAR 开源先锋日”会上,华为云计算技术有限公司的研发安全服务(成分分析)(SaaS 版)通过了信通院的可信开源治理工具的认证,并在华为公有云上对外提供了商业服务。
华为云 DevCloud 一直致力于为客户提供端到端提效、全链路安全的研发环境,华为研发工具能力持续外溢;目前华为云软件成分分析提供基于二进制成分分析能力,源码分析后续会正式发布,敬请期待。
版权声明: 本文为 InfoQ 作者【华为云开发者联盟】的原创文章。
原文链接:【http://xie.infoq.cn/article/579780e0d8cf9250332c7347c】。文章转载请联系作者。
评论