「微析」開源軟件風(fēng)險(xiǎn)管理平臺(tái)

—— 對(duì)軟件系統(tǒng)源代碼或代碼倉庫進(jìn)行持續(xù)的開源風(fēng)險(xiǎn)管理

申請(qǐng) 試用

開源軟件存在怎樣的風(fēng)險(xiǎn)？

開源軟件具有迭代周期短、模塊數(shù)量多、生產(chǎn)線上化、供應(yīng)全球化、倉儲(chǔ)集中化、邊際成本低等特性，且使用路徑包括第三方鏡像倉庫、網(wǎng)盤、論壇、代碼托管平臺(tái)等存在安全隱患的軟件源，極易引入未知風(fēng)險(xiǎn)，如篡改、漏洞、投毒/后門、維護(hù)性中斷、開源合規(guī)風(fēng)險(xiǎn)等。

如何進(jìn)行開源軟件風(fēng)險(xiǎn)管理？

開源軟件風(fēng)險(xiǎn)管理主要包括對(duì)代碼漏洞、依賴性管理、安全維護(hù)、知識(shí)產(chǎn)權(quán)及合規(guī)性等多方面的綜合防范，為了有效管理這些風(fēng)險(xiǎn)，可以建立開源軟件安全審查機(jī)制、加強(qiáng)依賴性管理、提高安全維護(hù)意識(shí)、加強(qiáng)知識(shí)產(chǎn)權(quán)和合規(guī)性管理，同時(shí)，還可以借助政策和技術(shù)手段，打造以“政策+技術(shù)”雙驅(qū)動(dòng)為核心的防范體系來有效保障開源軟件的安全。

產(chǎn)品簡介 | Product Introduction

「微析」開源軟件風(fēng)險(xiǎn)管理平臺(tái)針對(duì)軟件開發(fā)過程中代碼和開源組件的大量引用，從而可能引入的安全漏洞、后門代碼、未知風(fēng)險(xiǎn)以及知識(shí)產(chǎn)權(quán)問題，通過建立全球開源軟件項(xiàng)目知識(shí)庫、漏洞知識(shí)庫、開源許可證知識(shí)庫等，對(duì)軟件源代碼進(jìn)行詳細(xì)的對(duì)比分析，識(shí)別出軟件源代碼構(gòu)成、存在的安全漏洞、開源協(xié)議等信息，幫助用戶在安全、研發(fā)、管理、知識(shí)產(chǎn)權(quán)等多方面提高軟件的開發(fā)管控能力。

核心功能 | Core functions

代碼漏洞檢測 基于深度學(xué)習(xí)算法實(shí)現(xiàn)，可用于快速精準(zhǔn)的識(shí)別開源代碼中的潛在漏洞，同時(shí)借助基于漏洞知識(shí)圖譜的本地漏洞庫，可以科學(xué)的評(píng)估出現(xiàn)漏洞的危險(xiǎn)等級(jí)，鎖定相應(yīng)代碼段，為用戶提供切實(shí)可行的修復(fù)方案，并有效的幫助企業(yè)級(jí)項(xiàng)目開發(fā)提升信息安全能力和等級(jí)
許可證合規(guī)性 基于大規(guī)模數(shù)據(jù)庫和文本分類算法實(shí)現(xiàn)，可用于開源項(xiàng)目的許可證識(shí)別與沖突檢測，分析結(jié)果主要包括概要信息、許可證文件列表、許可證沖突列表以及許可證沖突詳情等內(nèi)容，可為用戶提供準(zhǔn)確可靠、清晰易懂、多維度多層次的許可證使用與條款級(jí)沖突檢測結(jié)果，支持GPL、MIT、木蘭寬松許可證等超3000種許可證

軟件成分分析 基于大規(guī)模文件掃描和文件匹配，可精準(zhǔn)識(shí)別出項(xiàng)目中特定的配置文件，同時(shí)可解析各種復(fù)雜形式的依賴關(guān)系文件和配置文件，生成項(xiàng)目的軟件依賴成分列表和物料清單，包含組件信息、組件許可證信息，組件漏洞信息，利用開源成分分析自主開發(fā)的程度
漏洞情報(bào)知識(shí)庫 基于知識(shí)圖譜，通過不斷擴(kuò)展的數(shù)據(jù)源，從漏洞的不用角度來豐富多維的漏洞視角，快速掌握漏洞影響范圍、影響軟件版本、影響代碼片段、CPE、修復(fù)版本、補(bǔ)丁、PoC、漏洞細(xì)節(jié)、緩解措施、安全公告、參考鏈接等，數(shù)據(jù)源領(lǐng)先，云端漏洞情報(bào)中心實(shí)時(shí)跟蹤全球情報(bào)源，將不同來源漏洞自動(dòng)完成漏洞知識(shí)融合與糾錯(cuò)