「微析」開源軟件風(fēng)險管理平臺

—— 對軟件系統(tǒng)源代碼或代碼倉庫進(jìn)行持續(xù)的開源風(fēng)險管理

申請試用

開源軟件存在怎樣的風(fēng)險？

開源軟件具有迭代周期短、模塊數(shù)量多、生產(chǎn)線上化、供應(yīng)全球化、倉儲集中化、邊際成本低等特性，且使用路徑包括第三方鏡像倉庫、網(wǎng)盤、論壇、代碼托管平臺等存在安全隱患的軟件源，極易引入未知風(fēng)險，如篡改、漏洞、投毒/后門、維護(hù)性中斷、開源合規(guī)風(fēng)險等。

如何進(jìn)行開源軟件風(fēng)險管理？

開源軟件風(fēng)險管理主要包括對代碼漏洞、依賴性管理、安全維護(hù)、知識產(chǎn)權(quán)及合規(guī)性等多方面的綜合防范，為了有效管理這些風(fēng)險，可以建立開源軟件安全審查機(jī)制、加強(qiáng)依賴性管理、提高安全維護(hù)意識、加強(qiáng)知識產(chǎn)權(quán)和合規(guī)性管理，同時，還可以借助政策和技術(shù)手段，打造以“政策+技術(shù)”雙驅(qū)動為核心的防范體系來有效保障開源軟件的安全。

產(chǎn)品簡介 | Product Introduction

「微析」開源軟件風(fēng)險管理平臺針對軟件開發(fā)過程中代碼和開源組件的大量引用，從而可能引入的安全漏洞、后門代碼、未知風(fēng)險以及知識產(chǎn)權(quán)問題，通過建立全球開源軟件項(xiàng)目知識庫、漏洞知識庫、開源許可證知識庫等，對軟件源代碼進(jìn)行詳細(xì)的對比分析，識別出軟件源代碼構(gòu)成、存在的安全漏洞、開源協(xié)議等信息，幫助用戶在安全、研發(fā)、管理、知識產(chǎn)權(quán)等多方面提高軟件的開發(fā)管控能力。

核心功能 | Core functions

代碼漏洞檢測 基于深度學(xué)習(xí)算法實(shí)現(xiàn)，可用于快速精準(zhǔn)的識別開源代碼中的潛在漏洞，同時借助基于漏洞知識圖譜的本地漏洞庫，可以科學(xué)的評估出現(xiàn)漏洞的危險等級，鎖定相應(yīng)代碼段，為用戶提供切實(shí)可行的修復(fù)方案，并有效的幫助企業(yè)級項(xiàng)目開發(fā)提升信息安全能力和等級
許可證合規(guī)性 基于大規(guī)模數(shù)據(jù)庫和文本分類算法實(shí)現(xiàn)，可用于開源項(xiàng)目的許可證識別與沖突檢測，分析結(jié)果主要包括概要信息、許可證文件列表、許可證沖突列表以及許可證沖突詳情等內(nèi)容，可為用戶提供準(zhǔn)確可靠、清晰易懂、多維度多層次的許可證使用與條款級沖突檢測結(jié)果，支持GPL、MIT、木蘭寬松許可證等超3000種許可證

軟件成分分析 基于大規(guī)模文件掃描和文件匹配，可精準(zhǔn)識別出項(xiàng)目中特定的配置文件，同時可解析各種復(fù)雜形式的依賴關(guān)系文件和配置文件，生成項(xiàng)目的軟件依賴成分列表和物料清單，包含組件信息、組件許可證信息，組件漏洞信息，利用開源成分分析自主開發(fā)的程度
漏洞情報知識庫 基于知識圖譜，通過不斷擴(kuò)展的數(shù)據(jù)源，從漏洞的不用角度來豐富多維的漏洞視角，快速掌握漏洞影響范圍、影響軟件版本、影響代碼片段、CPE、修復(fù)版本、補(bǔ)丁、PoC、漏洞細(xì)節(jié)、緩解措施、安全公告、參考鏈接等，數(shù)據(jù)源領(lǐng)先，云端漏洞情報中心實(shí)時跟蹤全球情報源，將不同來源漏洞自動完成漏洞知識融合與糾錯