蓝源卫士
- 项目背景
随着开源软件的兴起和广泛应用,越来越多的企业和个人倾向于使用开源软件去解决问题或快速开发产品。然而,开源软件的使用也带来了安全漏洞和许可证合规等问题。许多开源软件的代码和组件可能存在漏洞或安全隐患,而这些漏洞或隐患往往被攻击者利用来实施攻击,对企业的数据和财产造成威胁。同时,许多开源软件的使用还存在许可证合规问题,如果企业或个人不遵守许可证规定,可能会面临法律诉讼和财务损失。
在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术关键信息基研设施安全保护要求》 (GB/T39204-2022) 国家标注标准。2023年5月1日此次正式实施的《保护要求》 进一步明确,关键信息基础设施安全保护,是在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全侈护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。其中包含源代码安全检测”"知识产权”,每年至少进行一次安全检测评估.为了解决这些问题,”蓝源卫士“应运而生。作为一款开源代码的安全漏洞和许可证合规扫描产品,”蓝源卫士“可以帮助企业和个人发现开源软件中存在的安全漏洞和许可证合规问题,从而规避风险,确保软件的安全和合规。
- 解决方案
——开源代码匹配检测
检测上传的源代码中匹配开源库的代码并检测可能涉及的开源代码许可证.支持几乎所有-Github上存在的语言,如JavaScript、Python、JavaC++、C、PHP等代码片段级匹配(支持文本和二进制文件的片段搜索。)
——代码漏洞检测
快速检测安全漏洞问题并提供漏洞修复建议。支持C、C++、C#、Java、PHP、JSP、Python等主流编程语言开发的软件源代码的检测。支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等13个大类,600多个小类的缺陷检测。兼容CWE、OWASPTop 10、CWE/SANSTOP25的检测。
——开源组件检测
检测上传的源代码中匹配开源库的代码,并检测可能涉及的开源代码许可证。支持主流语言的依赖组件检测,如package.json、requirments.txt、pom.xml、 Gemfile等。
——许可证合规性检测
验证软件内容,确认License合规性拥有将数万亿文件签名映射到可扩展知识库的专利压缩方案。拥有最快的哈希算法可扩展到知识库中的数 万亿个代码签名。
- 项目成效
1、帮助客户 “看见”软件中的开源资产 :
当前软件开发过程中绝大多数都会引入大量的开源组件,但企业用户或者开发管理者不清楚众多软件系统中到底引入了多少开源组件?引入了哪些开源组件?蓝源卫士可以识别企业软件系统中包含了哪些开源组件以及形成企业开源组件资产可视化清单,使得企业能够清晰地掌握自己软件中的开源组件资产。
2、让客户 “掌握”最新开源代码漏洞情报:
企业从海量网络安全情报信息中,获取影响企业自身的开源代码漏洞信息,成本高、难度大。蓝源卫士拥有60T+本地知识库和开源 漏洞查找修复专利技术,可在短时间内提供完整的软件漏洞报告,让客户及时获取到影响其自身安全的最新开源组件、代码漏洞情报。
3、从源头解决安全问题,实现软件“基因”优化,有效降低软件安全问题的修复成本:
源代码安全检测能降低软件修复成本,据统计在软件交付后发现问题再进行整改的成本比软件开发初期经安全检测发现并整改所花的成本要高50~100倍,开发过程中持续进行源代码安全检测可以在软件交付前规避漏洞,实现软件“基因”优化。
- 核心价值
蓝源科技自主研发的开源成分分析与安全检测平台 ,定位为代码级同源性分析及安全检测审查工具 ,为用户提供开源代码漏洞检测、开源代码匹配检测、开源组件检测、许可证合规性检测等开源管理及安全服务解决方案。