近几年开源技术快速发展,开源已在多个重要领域成为主流。而随着科技的进步,对企业软件资产进行管理也成为互联网企业的一项核心工作。但是这项工作的实施难度或者说实施效果往往是不尽如人意的,究其原因主要是相关资产管理工具链不完善。现有产品或者是通过插件形式集成到特定的代码持续集成工具中,或者是需要专人去收集信息,主动配置扫描以获取企业内部软件资产相关信息。
软件成分分析
软件成分分析工具对软件应用程序进行分析,以检测软件中使用的开源软件组件是否带有已知的安全漏洞或功能漏洞,及授权许可是否恰当。它有助于确保企业软件供应链仅包含安全的开源软件组件,从而支持安全的应用程序开发和组装。
开源组件安全及合规管理平台:SourceCheck
产品简介
开源组件安全及合规管理平台(以下简称SourceCheck),能精准识别软件组件的安全性、代码及许可合规性,实时展示应用的代码安全状况和对第三方组件的安全管控,适用于软件安全开发生命周期(S-SDLC)开发阶段与测试阶段使用,是OWASP Top10中“A9:2017-使用含有已知漏洞的组件”的有效解决方案。SourceCheck无需人工干预的、无感知的对企业级软件资产信息收集与管理,使软件资产分布可视化;并提供软件资产跟踪定位和管控、新漏洞的自检和预警,以及自研组件组件和程序代码的许可合规性进行检测。
产品优势
准确定位和分析第三方组件
通过已知漏洞信息,准确实现对企业所用第三方组件的定位和分析;
跟踪已识别的第三方组件,持续收集组件的安全威胁。
及时更新和预警新组件漏洞
威胁发布第一时间检测企业软件资产,对使用问题组件的对象发布漏洞预警;
协助启动应急响应机制。
全面的软件资产分布可视化
提供企业级、部门级和项目级的资产分布视图;
多维度视图资产信息展示,助力使用者快速制定决策;
提供详细的BOM(Bill Of Materials)清单。
支持自研组件合规性与安全检测
提供全面的第三方组件和自研组件的识别定位,对其合规性进行检测规避法律风险,并在安全检测后支撑快速清理或组件升级。0daybank
文章评论