摘要:軟體成分分析,指通過對軟體源碼、二進制軟體包等的靜态分析,挖掘其所存在的開源合規、已知漏洞等安全合規風險,是一種業界常見的安全測試手段。
本文分享自華為雲社群《華為雲重磅釋出開源軟體治理服務——軟體成分分析》,作者:華為雲PaaS服務小智。
軟體成分分析,指通過對軟體源碼、二進制軟體包等的靜态分析,挖掘其所存在的開源合規、已知漏洞等安全合規風險,是一種業界常見的安全測試手段;近日華為雲憑借軟體成分分析産品及技術領先優勢,通過信通院測評,榮獲開源治理工具評估認證。
鑄就開源治理利器,守護您的軟體供應鍊安全
- 無需依賴源碼
使用者隻需上傳二進制軟體包/固件,服務會采用靜态檢測技術,不用建構運作環境,不用運作程式即可快速分析二進制軟體包/固件中存在的安全風險問題,并輸出一份專業的分析報告。
- 與被測對象的架構平台無關
支援桌面(Windows和Linux)應用、移動應用程式(APK、IPA、Hap等)、嵌入式系統固件(u-boot、Android sparse等)等。
- 主流程式設計語言支援全面
支援C/C++、Java、Go、Python、JavaScript、Rust等,覆寫語種持續增加
- 主動管理威脅
依托工具實時完善的漏洞庫能力,主動管理曆史掃描軟體BOM中新發現的漏洞告警。
- 風險檢測能力強,規則持續增加
對使用者釋出包/固件包中存在的風險提供全面快速的排查能力,涵蓋開源軟體風險、資訊洩露風險、配置類風險3大類26小類檢查項,檢測規則持續增加。
通過信通院測評,榮獲開源治理工具評估認證
可信開源治理工具(SCA)作為可信開源中最重要的檢測工具,為企業和評估機構對軟體産品是否安全規範的使用開源軟體提供了一個自動化的檢測能力和可量化、可視化的檢測結果。
在今年5月“OSCAR開源先鋒日”會上,華為雲計算技術有限公司的研發安全服務(成分分析)(SaaS版)通過了信通院的可信開源治理工具的認證,并在華為公有雲上對外提供了商業服務。