摘要:软件成分分析,指通过对软件源码、二进制软件包等的静态分析,挖掘其所存在的开源合规、已知漏洞等安全合规风险,是一种业界常见的安全测试手段。
本文分享自华为云社区《华为云重磅发布开源软件治理服务——软件成分分析》,作者:华为云PaaS服务小智。
软件成分分析,指通过对软件源码、二进制软件包等的静态分析,挖掘其所存在的开源合规、已知漏洞等安全合规风险,是一种业界常见的安全测试手段;近日华为云凭借软件成分分析产品及技术领先优势,通过信通院测评,荣获开源治理工具评估认证。
铸就开源治理利器,守护您的软件供应链安全
- 无需依赖源码
用户只需上传二进制软件包/固件,服务会采用静态检测技术,不用构建运行环境,不用运行程序即可快速分析二进制软件包/固件中存在的安全风险问题,并输出一份专业的分析报告。
- 与被测对象的架构平台无关
支持桌面(Windows和Linux)应用、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件(u-boot、Android sparse等)等。
- 主流编程语言支持全面
支持C/C++、Java、Go、Python、JavaScript、Rust等,覆盖语种持续增加
- 主动管理威胁
依托工具实时完善的漏洞库能力,主动管理历史扫描软件BOM中新发现的漏洞告警。
- 风险检测能力强,规则持续增加
对用户发布包/固件包中存在的风险提供全面快速的排查能力,涵盖开源软件风险、信息泄露风险、配置类风险3大类26小类检查项,检测规则持续增加。
通过信通院测评,荣获开源治理工具评估认证
可信开源治理工具(SCA)作为可信开源中最重要的检测工具,为企业和评估机构对软件产品是否安全规范的使用开源软件提供了一个自动化的检测能力和可量化、可视化的检测结果。
在今年5月“OSCAR开源先锋日”会上,华为云计算技术有限公司的研发安全服务(成分分析)(SaaS版)通过了信通院的可信开源治理工具的认证,并在华为公有云上对外提供了商业服务。
华为云DevCloud一直致力于为客户提供端到端提效、全链路安全的研发环境,华为研发工具能力持续外溢;目前华为云软件成分分析提供基于二进制成分分析能力,源码分析后续会正式发布,敬请期待。