写点什么

重磅!持续应用安全(CAS)白皮书发布,云起无垠入选

作者:云起无垠
  • 2023-01-16
    北京
  • 本文字数:1278 字

    阅读完需:约 4 分钟


近日,我国数字安全领域的第三方调研与咨询机构数世咨询对外正式发布了《持续应用安全(CAS)白皮书》,云起无垠作为 CAS 领域 Fuzzing 技术领跑者,入选本次报告。


(节选自持续应用安全(CAS)白皮书)


作为我国数字安全领域的第三方调研与咨询机构,数世咨询一直同产业界一起,以最佳实践和创新应用引领产业发展。《持续应用安全(CAS)白皮书》作为数世咨询的又一力作,为软件供应链安全产业的发展提供了一种新的安全指引,助力了产业发展。


白皮书指出,持续应用安全(CAS)是基于我国软件供应链安全现状所诞生的一种解决方案,是 DevSecOps 理念框架在我国商业市场的落地实践,致力于解决敏捷性思想在数字时代提出的安全保障需求。主要针对软件供应链中数字化应用的开发以及运行方面的安全问题,安全能力原子化(离散式制造、集中式交付、统一化管理、智能化应用)在软件供应链安全上的应用。


持续应用安全(CAS)专注于保障数字化应用的源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。持续应用安全(CAS)方案可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

其中,在数字化应用的源代码阶段-构建部署阶段-上线运行阶段脱离不了 Fuzzing 技术的应用。如下图所示,在预发布环节需要 Fuzzing 安全测试技术以检测 SDLC 所有阶段的安全性和稳定性问题,并使开发人员能够快速、安全地发布软件。



除此之外,Fuzzing 和 SCA、SAST 三者可以互相兼容、彼此互补,为 CAS 持续应用安全场景提供一体化的代码安全解决方案。在实际应用过程中,SAST 可以在编译过程前对代码进行安全扫描,发现并定位潜藏在代码中的安全缺陷,而 SCA 可对项目中开源组件的安全缺陷与许可证问题进行分析检测,但此二类产品的检测能力源于漏洞库与规则库比对,因此缺少未知漏洞检测的检测能力,并且会存在一定的误报。


相比之下,智能模糊测试基于变异生成的海量畸变的测试用例,使其不仅能够检测已知漏洞,还能有效发现 0day 漏洞,并且动态运行的测试方式确保所有检出缺陷均可完整复现,可有效地对检测流程中产生的误报进行收敛。通过将此三类技术融合,可在引入阶段帮助企业识别和选择安全的第三方组件,并在研发测试环节精准地检测已知和未知安全威胁,做到漏洞可复现可定位,大幅降低在研发过程中的漏洞修复成本,更好地保障业务应用安全上线。


云起无垠作为模糊测试技术领跑者,基于模糊测试技术自主研发了针对“协议”和“代码”的模糊测试系统,通过海量数据变异自动生成测试用例,从而对应用系统更好的进行安全检测,自动运行的同时全覆盖的发现漏洞或威胁,防患于未然。迄今为止,已经为运营商、测评中心、智能车企等众多行业客户提供产品服务,帮助客户解决安全威胁问题。


此次入选报告,既是数世咨询对云起无垠的认可,也是云起无垠的一份希望,期望积极参与软件供应链安全产业的发展,为产业发展提供一臂之力。未来,云起无垠将继续加强技术研究和产品打磨,不断完善自身解决方案,与行业伙伴一起推动软供产业发展。

用户头像

云起无垠

关注

定义开发安全新范式 2022-10-14 加入

云起无垠致力于为企业提供自动化安全检测能力,让企业更安全,让安全更智能。

评论

发布
暂无评论
重磅!持续应用安全(CAS)白皮书发布,云起无垠入选_Fuzzing_云起无垠_InfoQ写作社区