来源 :安恒信息2024-01-29
为进一步推动杭州软件产业发展,培育和引导新生代软件企业,共同探讨杭州数字经济的未来,杭州市软件行业协会2023年会员代表大会暨AI时代软件企业发展论坛于1月28日举办,安恒信息首席人才官、高级副总裁、数字人才创研院院长苗春雨受邀出席并发表主题演讲。
苗春雨在《重保之软件供应链安全实践》中介绍到,安恒信息作为国家级核心安保单位,拥有一支超过数百人的国家级网络安全保障实战团队,具备一流的网络与信息安全技术能力和丰富安全攻防经验。安恒信息自2008年北京奥运会起陆续负责新中国成立60周年、上海世博会、广州亚运会、历届世界互联网大会、G20峰会、成都亚运会、杭州亚运会等众多国际级、国家级重大活动、赛事的网络安全保障工作,并实现零事故的辉煌战绩。
近年来,随着软件供应链的不断发展,其背后的安全风险问题越来越得到重视。对此,国家及金融、运营商、教育、电力等各行各业陆续发布关于软件供应链安全的政策规定,全面为软件供应链安全治理与安全保障提供政策指导。
依托前沿科技研发技术与丰富实战经验,安恒信息面向软件供应链安全提供完善的解决方案,以合规为基础、以安全为追求,持续保障企业软件供应链安全,并在采购阶段、集成开发、软件交付、安全运营四个阶段都具备管理、服务、产品相结合的全面能力。
在2023年,安恒信息圆满完成了成都大运会、杭州亚运会等国际大型赛事的网络安全保障工作,安恒信息软件供应链安全历经诸多实战演练,为“零事故”的辉煌战绩贡献极大力量。基于重保实战防护经验,苗春雨详细展开介绍了安恒软件供应链安全七大重点能力:
安全开发一体化平台
安恒安全开发一体化平台,即软件供应链安全平台,是基于Gartner提出的DevSecOps理念,将安全(Security)嵌入DevOps流程中,实现软件敏捷开发过程安全性能保障的功能性平台。其主要功能包括项目管理、资产及第三方组件管理、安全需求分析与设计平台、漏洞管理、集成工具以及知识库。
软件成分分析
安恒软件成分分析平台(SCA),是一款智能组件历史漏洞检测、二进制0day风险分析、开源协议检查系统,支持生成SBOM。是安恒信息面向软件开发安全需求研发的基于软件开发安全生命周期管理的开源组件检测系统。支持对源代码、二进制文件及特征文件中的开源组件进行静态解析,并基于机器学习技术,模拟开发过程中包管理的行为,通过算法、策略、模型对项目引用到的组件及漏洞进行高效深层分析。
源代码审计系统
安恒明鉴源代码安全缺陷检测系统(SAST),通过系统自动分析软件的源代码、二进制代码,理解软件行为,检测并发现代码缺陷、违反编码规范的恶意或违规行为,解决安全开发规范标准化与自动化工具支撑的核心问题。
灰盒动态测试系统
安恒灰盒交互式安全测试系统(IAST),支持对应用的通用安全漏洞、代码层安全漏洞和开源组件安全漏洞进行有效检测,详细展示漏洞形成数据流和堆栈信息等,便于定位、验证、修复安全漏洞,系统具备漏洞检测、定位分析、主动验证、以及第三方开源组件漏洞与许可分析能力。
威胁建模分析系统
安恒威胁建模平台,根据实际项目背景、业务场景,输出威胁清单、安全需求清单、安全需求测试用例,解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。
漏洞扫描系统
安恒明鉴漏洞扫描系统(DAS-RAS),融合多年专业安全行业在信息安全漏洞挖掘、渗透测试技术研究和漏洞检查方法的最佳实践基础上,集主机/网站/应用/数据安全扫描、弱口令发现和基线配置核查于一体化,协助验证应用代码安全性能、应用安全防护性能和抗破坏能力。
安全服务
软件供应链安全保障是一项体系建设工程,除系统平台工具支撑,也需要结合运营商合规要求与现状风险,引入不同类型的安全服务,确保软件供应链安全治理的效果可衡量、风险可控制、合规能评估、威胁可处置。
在本次会议中,安恒信息与杭州市软件协会、阿里巴巴集团、网易集团、信雅达等单位共同探讨杭州市软件行业最新发展成果。未来,安恒信息将继续为杭州市软件行业的发展注入新的活力,并携手各方政企单位共同推动杭州市数字经济蓬勃发展,为其注入安全力量。