藍(lán)源衛(wèi)士

• 項(xiàng)目背景

  隨著開源軟件的興起和廣泛應(yīng)用，越來(lái)越多的企業(yè)和個(gè)人傾向于使用開源軟件去解決問題或快速開發(fā)產(chǎn)品。然而，開源軟件的使用也帶來(lái)了安全漏洞和許可證合規(guī)等問題。許多開源軟件的代碼和組件可能存在漏洞或安全隱患，而這些漏洞或隱患往往被攻擊者利用來(lái)實(shí)施攻擊，對(duì)企業(yè)的數(shù)據(jù)和財(cái)產(chǎn)造成威脅。同時(shí)，許多開源軟件的使用還存在許可證合規(guī)問題，如果企業(yè)或個(gè)人不遵守許可證規(guī)定，可能會(huì)面臨法律訴訟和財(cái)務(wù)損失。

  在中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局、公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)下，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院組織研制了《信息安全技術(shù)關(guān)鍵信息基研設(shè)施安全保護(hù)要求》 (GB/T39204-2022) 國(guó)家標(biāo)注標(biāo)準(zhǔn)。2023年5月1日此次正式實(shí)施的《保護(hù)要求》 進(jìn)一步明確，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，是在國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，借鑒我國(guó)相關(guān)部門在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)，吸納國(guó)內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)方面的舉措，結(jié)合我國(guó)現(xiàn)有網(wǎng)絡(luò)安全保障體系等成果，從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等方面，提出關(guān)鍵信息基礎(chǔ)設(shè)施安全侈護(hù)要求，采取必要措施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)運(yùn)行，及其重要數(shù)據(jù)不受破壞，切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)。其中包含源代碼安全檢測(cè)”"知識(shí)產(chǎn)權(quán)”，每年至少進(jìn)行一次安全檢測(cè)評(píng)估.為了解決這些問題，”藍(lán)源衛(wèi)士“應(yīng)運(yùn)而生。作為一款開源代碼的安全漏洞和許可證合規(guī)掃描產(chǎn)品，”藍(lán)源衛(wèi)士“可以幫助企業(yè)和個(gè)人發(fā)現(xiàn)開源軟件中存在的安全漏洞和許可證合規(guī)問題，從而規(guī)避風(fēng)險(xiǎn)，確保軟件的安全和合規(guī)。

• 解決方案

  ——開源代碼匹配檢測(cè)

  檢測(cè)上傳的源代碼中匹配開源庫(kù)的代碼并檢測(cè)可能涉及的開源代碼許可證.支持幾乎所有-Github上存在的語(yǔ)言,如JavaScript、Python、JavaC++、C、PHP等代碼片段級(jí)匹配(支持文本和二進(jìn)制文件的片段搜索。)

  ——代碼漏洞檢測(cè)

  快速檢測(cè)安全漏洞問題并提供漏洞修復(fù)建議。支持C、C++、C#、Java、PHP、JSP、Python等主流編程語(yǔ)言開發(fā)的軟件源代碼的檢測(cè)。支持緩沖區(qū)溢出、代碼注入、跨站腳本、輸入驗(yàn)證、API誤用、密碼管理、配置錯(cuò)誤、危險(xiǎn)函數(shù)等13個(gè)大類，600多個(gè)小類的缺陷檢測(cè)。兼容CWE、OWASPTop 10、CWE/SANSTOP25的檢測(cè)。

  ——開源組件檢測(cè)

  檢測(cè)上傳的源代碼中匹配開源庫(kù)的代碼，并檢測(cè)可能涉及的開源代碼許可證。支持主流語(yǔ)言的依賴組件檢測(cè)，如package.json、requirments.txt、pom.xml、 Gemfile等。

  ——許可證合規(guī)性檢測(cè)

  驗(yàn)證軟件內(nèi)容，確認(rèn)License合規(guī)性擁有將數(shù)萬(wàn)億文件簽名映射到可擴(kuò)展知識(shí)庫(kù)的專利壓縮方案。擁有最快的哈希算法可擴(kuò)展到知識(shí)庫(kù)中的數(shù) 萬(wàn)億個(gè)代碼簽名。

• 項(xiàng)目成效

  1、幫助客戶 “看見”軟件中的開源資產(chǎn) ：

  當(dāng)前軟件開發(fā)過程中絕大多數(shù)都會(huì)引入大量的開源組件，但企業(yè)用戶或者開發(fā)管理者不清楚眾多軟件系統(tǒng)中到底引入了多少開源組件？引入了哪些開源組件？藍(lán)源衛(wèi)士可以識(shí)別企業(yè)軟件系統(tǒng)中包含了哪些開源組件以及形成企業(yè)開源組件資產(chǎn)可視化清單，使得企業(yè)能夠清晰地掌握自己軟件中的開源組件資產(chǎn)。

  2、讓客戶 “掌握”最新開源代碼漏洞情報(bào)：

  企業(yè)從海量網(wǎng)絡(luò)安全情報(bào)信息中，獲取影響企業(yè)自身的開源代碼漏洞信息，成本高、難度大。藍(lán)源衛(wèi)士擁有60T+本地知識(shí)庫(kù)和開源 漏洞查找修復(fù)專利技術(shù)，可在短時(shí)間內(nèi)提供完整的軟件漏洞報(bào)告，讓客戶及時(shí)獲取到影響其自身安全的最新開源組件、代碼漏洞情報(bào)。

  3、從源頭解決安全問題，實(shí)現(xiàn)軟件“基因”優(yōu)化，有效降低軟件安全問題的修復(fù)成本：

  源代碼安全檢測(cè)能降低軟件修復(fù)成本，據(jù)統(tǒng)計(jì)在軟件交付后發(fā)現(xiàn)問題再進(jìn)行整改的成本比軟件開發(fā)初期經(jīng)安全檢測(cè)發(fā)現(xiàn)并整改所花的成本要高50~100倍，開發(fā)過程中持續(xù)進(jìn)行源代碼安全檢測(cè)可以在軟件交付前規(guī)避漏洞，實(shí)現(xiàn)軟件“基因”優(yōu)化。

• 核心價(jià)值

  藍(lán)源科技自主研發(fā)的開源成分分析與安全檢測(cè)平臺(tái) ，定位為代碼級(jí)同源性分析及安全檢測(cè)審查工具 ，為用戶提供開源代碼漏洞檢測(cè)、開源代碼匹配檢測(cè)、開源組件檢測(cè)、許可證合規(guī)性檢測(cè)等開源管理及安全服務(wù)解決方案。