背景
目前,几乎所有的软件都使用了第三方开源组件。最近的研究证实,大多数现代应用程序比专有代码具有更大的开源代码百分比,一些组织甚至估计开放源代码占其专有应用程序的60-80%或更多。虽然引入开源软件有有助于我们降低开发成本,缩短上市时间,构建更加灵活的产品,但同时也给企业带来了诸多风险。最近发布的一份“开源安全年度报告”中指🎧,2019年,公开披露的开源安全漏洞数量与 2018 年相比增长近 50%。
大多数组织可能都无法全部回答以下问题:我对组织内部使用开源代码的使用情况了解多少?哪些项目正在使用哪些开源组件?哪些许可证在起作用?他们合规吗?考虑到开源组件现在已构成现代应用程序代码库的 80%或更多,不了解可能会带来不可避免的风险。
因此,企业需要使用有效的工具,来帮助识别和修复开源代码的现存或潜在隐患,这是减少暴露并保护应用程序安全的最佳方法。
产品介绍
智能的软件成分分析(SCA)解决方案,简化了企业对开源软件的管理行为,让您可以轻松监视和管理在应用程序内使用的第三方开源组件所带来的诸多安全风险,也使您在整个应用生命周期中对其进行有效的控制。
黑域软件成分分析平台(以下简称分析平台)可以识别软件应用程序中所有开源组件及各版本的使用情况,检查他们是否存在安全、质量和许可证合规性方面的风险。与此同时,借助实时预警机制,企业可以大大提升对威胁和风险的响应速度。平台还提供了具体的补救措施指导,从新版本的补丁链接到系统配置更改以阻止特定功能的建议,所有已知的修复选项等等, 最终帮助、保护您的系统免受漏洞侵害。
产品特性
1:企业资产信息不外流
有些企业通过 外传企业开源清单 BOM 方式进行分析。这样对企业造成了极大的安全风险,通过企业开源清单及可定位存在的开源漏洞,即使的企业的漏洞直接暴露给外界。
HYSCA 采用纯本地监测+更新独有知识库与独有规则的方式实现企业的软件成分分析及漏洞检测。
2:系统集成
支持集成 CI/CD 管道,可无缝对接到持续集成 DevOps 系统。通过在代码检测平台的配置, 实现代码检测的同时自动完成软件成分分析的的检测。
功能介绍
1:系统首页
系统首页是以当前使用者为角度,展示并监视其管理任务的所有版本的组件、漏洞的使用情况,以便主动识别相关项目的风险。
2:检测项目管理
分析平台主要以项目为主要维度对软件进行集中管理。通过这种普遍、高效的管理方式, 用户可以完整的跟踪、查看、分析产品在各个生命周期中对于开源软件引入的风险变化情况, 从而快速、准确的进行响应。
一个项目代表一个系统(或软件),而每个系统下,随着迭代的进行都会产生许多版本。为了满足这种场景,分析平台支持以“项目-版本”的层级关系进行扫描管理。
3:软件成分分析
用户在添加项目后,可以为该项目创建一次扫描,每个扫描都代表一个不同的项目版本。黑域软件成分分析平台支持上传特征文件,本地源代码和远程代码仓库(Git/SVN)的形式进行扫描分析。创建完扫描任务后,任务会在进入扫描队列中等待执行,扫描完成后,用户可以查看扫描任务详情,了解扫描结果。
4:查看分析结果
分析平台能够以不同的层级展示成分分析结果:
版本单次最新扫描:单次扫描概况是查看最近一次扫描结果的最直观区域。用户可了解到“基本检测信息”,“组件风险等级”,“漏洞严重等级”和“协议引用统计”等信息;
版本下全部扫描:版本下所有扫描形成的变化趋势。同一版本下的多次扫描一般是针对该版本下的多次构建,因此版本下全部扫描也可以理解为是每次构建软件成分的变化情况;
项目下所有版本扫描:项目下所有版本最近一次扫描结果对比。
![[GXYCTF2019]禁止套娃1](https://img-blog.csdnimg.cn/direct/242ea6f058e54e118fe21f9244452108.png)
