|
在当今快节奏的商业和技术世界中,企业快速响应市场、实现产品差异化已成为企业竞争的关键。然而,在追求效率的同时,软件安全的风险也如影随形。为了确保软件安全,嘉为蓝鲸携手腾讯安全科恩实验室打造覆盖软件研发全生命周期的安全管控方案,帮助企业更加从容应对日益复杂的网络安全挑战。
腾讯安全科恩实验室(Keen Security Lab of Tencent)隶属于腾讯云与智慧产业事业群,成立于2016年1月,作为腾讯集团旗下一支国际一流的信息安全团队,科恩实验室在车联网安全和工业互联网安全等领域保持差异化领先优势,并不断探索AI安全等前沿方向。
基于世界领先的安全研究能力和丰富的安全攻防经验,科恩以“数据+算法“为核心升级威胁情报系统,为腾讯输出国际一流的基础安全核心能力;此外,建立“攻”-“防”-“检”三位一体的产品矩阵,引领产业客户搭建主动防御安全体系,产研落地成果多次获得安全最佳应用案例等国家级荣誉。
T-Sec软件成分分析工具主要包括两大模块:
基于二进制分析能力的全方位、高精度的自动化制品扫描模块,可对常见构建产物进行分析,例如压缩包、安装包、jar 包、固件、Docker镜像等文件。聚焦于已知漏洞扫描、开源软件审计和敏感信息检测,可提供开源软件约束条件等内容。
基于源码分析能力的开源组件自动化扫描和分析模块,支持 Java/Go/C/C++/Python/Ruby/ArkTS等多种语言的源码SCA分析能力,结合源码特征库可对文件级以及片段级源码进行扫描和匹配,精准发现其中包含的开源组件、漏洞、License以及 copyright等信息。
嘉为蓝鲸DevOps平台与腾讯科恩T-Sec在产品能力上进行了深度集成,从开发人员本地开发、流水线构建集成和开源治理三个方面着手,打造覆盖软件研发全生命周期的安全管控方案,帮助企业更加从容应对日益复杂的网络安全挑战。
科恩T-Sec提供了Jetbrains IDEA,VsCode,Eclipse三大主流集成开发环境的插件KASA Scanner,基于科恩T-Sec的强大安全检测能力,开发人员在本地编写完代码后即可通过KASA Scanner发起本地代码扫描,本地代码扫描支持检查源代码中的开源组件风险、已知漏洞风险、License风险,并报告这些风险的详细信息。
这种开发阶段的安全反馈机制能够尽早发现源代码中的潜在风险,不仅提高了代码的安全性,还减少了后期修复漏洞的成本。
嘉为蓝鲸DevOps平台在CPack制品分析能力中已集成科恩T-Sec扫描引擎,支持对依赖源仓库和二进制仓库中的制品进行安全扫描。
Cpack制品库目前已支持generic通用二进制仓库和docker、maven、pypi、npm、helm、composer、rpm、nuget依赖源仓库,企业可以使用CPack制品库统一管理组织内的二进制制品和依赖源组件。
当开发人员在本地构建源代码或者在流水线中构建源代码并配置了通过CPack依赖源仓库获取开源组件时,CPack制品库支持自动触发制品安全分析,分析能力将基于科恩T-Sec的强大能力,快速识别开源组件的漏洞风险和license风险,并将结果反馈到制品库中,结合CPack制品分析能力的质量规则控制,自动拦截不符合企业安全标准的开源组件,防止不合规的开源组件进行组织内部环境,引发安全问题。
考虑到开发人员本地构建失败可能阻碍代码开发的进度,CPack制品分析还会在拦截到不合规的开源组件时给安全管理员和拉包人员发送消息通知,以方便各角色成员及时知晓导致构建失败的开源组件清单和漏洞详情。
在流水线构建阶段,嘉为蓝鲸DevOps平台提供流水线插件用于调度科恩T-Sec安全分析工具。
该插件支持科恩T-Sec的完整扫描能力,可用于:
通过以上分析获取潜在的开源组件风险、已知漏洞风险、License风险。通过自动化的安全扫描和漏洞检测,在软件包入库之前即提前暴露安全风险,结合嘉为蓝鲸DevOps平台的流水线质量红线能力,自动拦截不符合企业安全要求的程序包,确保构建出的软件包能够满足企业的安全标准,防止潜在的安全隐患流入生产环境。
嘉为蓝鲸DevOps携手腾讯安全整合安全性到软件开发的每一个环节,帮助企业构建新一代安全、高效、合规的软件全生命周期安全管控体系,为企业提供一站式开箱即用的DevSecOps解决方案。
| 
