目前,软件供应链由于开源和云原生时代的到来越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,且针对软件供应链的攻击事件一直呈快速增长态势,造成的危害也日益严重。企业在软件更新、开源项目、第单方开发人员等环节中容易受到软件供应链攻击,因此,确保软件供应链的安全性十分重要。
爱加密软件供应链安全管理平台可用于第三方开源组件安全管控,提供事前工作、事中处理、事后监测三种安全管理机制,包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警等,可提供企业级的软件资产分布可视化、软件资产跟踪定位、根据已知漏洞定位组件、新漏洞发布后的自检与预警、威胁分析、组件、漏洞数据的态势感知、许可和知识产权检测、组件管控等功能。
平台支持CVE、CNNVD等常用漏洞库更新,以保证高开源组件库的覆盖度;支持企业、部门、项目级的资产分布视图展示,对组件、漏洞清单进行多维度展示,为辅助决策提供精准、合理的修复方案;实时发现漏洞,持续更新记录,以保证对漏洞风险的快速感知;灵活的组件授权管控机制,提升了使用的便捷性和安全性。
核心功能
1、事前工作
根据开源技术相关法律和许可要求建立入库标准;
私库存量开源组件建立事前技术合规评估和安全评估;
对于新增入库开源技术需进行严格检测及审核;
建立开源技术应用管理制度体系。
2、事中处理
以安全、合规为核心,覆盖开源使用全周期;
检测当前开源软件许可是否符合系统使用范围;
对开发中项目建立自动化实时监控机制;
根据扫描结果建立开源软件应用台账。
3、事后监测
提供多种方式对漏洞库信息进行实时更新管理;
建立开源项目实时合规及安全检查机制;
提供应急响应机制,实现对新增漏洞进行追溯修复能力。
应用场景
以监管要求为基础帮助企业建立开源技术应用管理制度体系,实现对软件供应链的全生命周期安全管控,通过建立准入机制严格把关开源软件使用,确保当前存量/增量的开源组件符合安全及合规评估要求;同时对于现有软件资产建立台账,以安全、合规为核心,对开源组件应用的全生命周期进行分析,帮助管理人员有效了解 当前企业的软件资产情况;在对于投产应用进行持续监控,以多来源威胁情报为基础,建立快速应急响应机 制,实时预警开源组件安全及合规问题,发现漏洞后,精准定位关联应用,协助管理人员对其进行有效修复, 实现软件供应链安全智能化管理。
产品价值