現在大部分客戶對於軟體開發的安全考量基本集中在軟體開發的後期,在測試階段引入。常用的軟體風險評估、漏洞掃描、滲透測試等都是在軟體開發完成後進行。通常這個階段預留的時間非常少,不僅修復的難度高,修復、測試的成本極高,而且存在大量的漏洞錯報和誤報的情況。後期的測試手段也無法精準地測試出程式碼漏洞的具體位置。當透過後期測試發現問題後,人工進行程式碼審查去查詢漏洞所在程式碼位置時,我們經常會發現過程中存在效率低、準確率低、無法定位具體問題程式碼行等問題。而這些問題導致了客戶後期發現系統漏洞時,無法進行快速、準確地修復,客戶只能讓系統攜帶漏洞上線。SCAP產品將從開發早期進行安全介入,能夠快速精準地定位問題程式碼行,對漏洞進行實時管理,完美地解決上述問題,從原始碼級別保護系統的程式碼安全。
Why SCAP?
海雲安原始碼分析管理平臺(以下簡稱“SCAP”)是由深圳海雲安網路安全技術有限公司多年原始碼安全實踐經驗自主研發的原始碼安全漏洞檢查及分析管理平臺。SCAP擁有領先行業的原始碼檢測引擎,強大的使用者環境整合能力和完善的管理流程使得產品擁有強大的實用性。SCAP為開發人員提供簡單、方便、精準、快速的原始碼漏洞檢查,極大地減少開發人員在查詢、修復漏洞上花費的時間,提高安全效率。強大精準的程式碼檢測引擎使得SCAP成為市場上現有原始碼安全最強有力的工具。
產品功能
海雲安SCAP產品能夠從源頭和開發的初期就及時發現漏洞,讓開發人員在使用意識和編碼習慣方面做到杜絕安全隱患,極大地提高使用者軟體的安全性,幫助使用者降低潛在經濟損失,實現海雲安“安全每一行程式碼”的願景。
強大的引擎檢測能力
SCAP擁有領先行業的原始碼安全分析引擎,引擎100%自主研發,安全可控。該引擎支援C\C++、Java、JS、PHP、SQL等多種語言,覆蓋程式碼缺陷檢測、程式碼質量檢測、開源元件檢測、木馬後門檢測、效能缺陷、編碼規範等 2000+種缺陷。引擎積累了龐大的安全漏洞檢測規則庫,以及原始碼誤報漏報過濾引擎。同時引擎結合了AI人工智慧學習演算法,快速積累自己的規則庫和漏洞庫。
強大的引擎能力
1.支援Java、C、C++、.NET、Andriod-JAVA、Objective-C、Swift、JSP、PHP、ASP、Python、XML、HTML、JavaScript、VBScript、SQL等20+種語言的檢測
產品介面
2.支援對程式碼缺陷檢測、程式碼質量檢測、開源元件檢測、木馬後門檢測,涵蓋2000+種缺陷型別
3.符合CWE、OWASP Top 10、SANS、PCI DSS、STIG、NIST等等國際安全組織或行業安全標準的安全漏洞分類、分級,其中OWASP TOP10召回率高,漏報率低
4.支援使用者自定義檢測規則,來滿足客戶化的特定的檢測需求;同時支援使用者對產品的安全漏洞檢測規則庫進行自定義勾選,滿足使用者根據自身特點、或者檢測目標的安全要求,定義出不同的檢測標準
產品介面
高效的管理能力
為了讓產品更好地服務於使用者,在產品設計的過程中,我們對使用者的軟體開發流程、開發習慣、痛點難點等方面進行了深入的調研。海雲安SCAP產品支援專案全生命週期綜合管理,能夠提供對多個專案原始碼的不同開發階段、不同版本的測試結果報表。針對多使用者、多職責、多部門的許可權管理不同的情況,使用者可根據自己的需求進行許可權控制,便於對不同部門和不同角色的使用者進行統一分配、集中管理。平臺的易用性和高效全面的管理能力使得海雲安SCAP成為使用者的不二之選。
高效的管理能力
1.支援專案全生命週期綜合管理,提供對多個專案原始碼的不同開發階段、不同版本的測試結果報表功能
2.多使用者,多職責,多部門的許可權管理。可根據使用者需求進行許可權控制,方便不同部門和不同角色的使用者進行統一分配、集中管理
3.管理平臺支援從本地上傳程式碼包進行掃描檢測,一鍵上傳,自動分析
4.管理平臺有詳細的報表統計分析功能,能夠展示各研發部門原始碼安全審計情況、整改前後的對比、全域性原始碼審計情況等,方便整體把握原始碼安全情況
產品介面
整合擴充套件能力
1.能夠對接Git,SVN等主流程式碼倉庫。支援 Eclipse外掛整合, IntelliJ外掛整合, Android Studio外掛整合能夠實現一鍵提交程式碼掃描
2.能夠無縫對接第三方掃描引擎,並對測試結果以及規則等進行統一管理
3.支援使用者工單對接,能夠對接JIRA等工單系統,一遍一鍵提交掃描報告,高效跟進和落實程式碼漏洞整改。同時能夠根據客戶的工單系統需求,對接其他工單系統
產品介面
SCAP產品框架
SCAP以B/S架構的方式提供使用者進行互動與管理,支援私有云和公有云部署,能夠與Git、SVN等程式碼倉庫整合獲取程式碼,與Jenkins構建整合系統進行整合,系統構建時會自動化觸發進行程式碼掃描。使用者可透過檢測程式碼版本對比進行誤報自動加白名單,在審計結果輸出後,可對審計結果進行匯出報告,使用郵件進行報告推送,還與企業的漏洞工單進行對接,實現平臺一站式審計服務。
產品架構
SCAP產品優勢
1.業內頂尖的檢測能力:涵蓋程式碼缺陷,質量,木馬後門等檢測,涵蓋2000+種缺陷型別
2.自主研發,安全可控:SCAP產品是海雲安 100% 自主研發,具有自主智慧財產權,符合國家資訊保安產品“自主、可控”的要求
3.強大的規則庫:結合多年的服務經驗以及AI人工智慧演算法,形成了領先業內的規則庫和漏洞庫
4.功能強大,靈活部署:SCAP產品擁有強大全面的檢測能力,同時在易用、實用方面也廣泛受使用者好評。產品還可實現對軟體安全開發生命週期的全面支援,方便使用者使用。