引領行業有序健康發展，海雲安加入中國信通院“軟體供應鏈安全實驗室（3S-Lab）”成員單位

為更好把握軟體供應鏈的發展趨勢，積極應對不斷出現的供應鏈攻擊安全治理難題，推動軟體供應鏈安全產業健康發展，近日，中國資訊通訊研究院（以下簡稱“中國信通院”）發起建立“軟體供應鏈安全實驗室（3S-Lab）”，並在於6月17日召開的“2022年首屆軟體供應鏈安全論壇”暨3S CON中正式宣佈實驗室成立，對實驗室首批成員單位代表進行授牌。海雲安憑藉在軟體供應鏈安全領域豐富的經驗入選“首屆軟體供應鏈安全成員單位”。

新一代資訊科技日益融入經濟社會各領域全過程，作為數字經濟發展的基礎，軟體行業正不斷做大做強，透過自主創新、加強應用等推動各行各業數字化轉型升級。不過，伴隨著軟體業的快速發展，軟體設計開發複雜度不斷提升，軟體供應鏈也愈發複雜。

近年來軟體供應鏈安全事件頻繁發生，Apache Log4j2 漏洞、SolarWinds 事件等，對使用者隱私、財產安全乃至國家安全造成重大威脅，且針對軟體供應鏈的攻擊還呈現明顯的上升趨勢，如何保障軟體供應鏈安全成為軟體行業核心關注點之一。

海雲安“供應鏈安全”目前包含工具系列和平臺系列，豐富的行業實踐經驗使得海雲安能夠深入瞭解客戶痛點併為客戶提供完善的解決方案。

工具系列

白盒產品：海雲安原始碼檢測分析管理平臺

原始碼檢測分析管理平臺（SCAP）是一個基於B/S架構的系統，分為前端瀏覽器訪問、內容展示和後臺檢測引擎、服務端管理等兩大模組。從平臺整體功能來說，SCAP能夠支援C\C++、Java、JS、PHP、SQL等語言程式碼進行掃描檢測，能夠對檢測後的結果進行展示、審計和整改跟進管理，並且可以對檢測和審計後的結果快速形成報告進行匯出。在系統前端，可以實現一鍵上傳程式碼、提交後臺自動掃描檢測，並且能夠快速生成報告。另外，在平臺上還可以根據自動化掃描結果進行人工程式碼審計，排查誤報，對報告的內容進行加工處理，並且可以在平臺上可以與多使用者進行漏洞確認和修復情況跟進。在系統後端，是結合資料庫管理、任務分發管理和原始碼掃描引擎於一體的綜合性平臺。能夠根據前端提交的程式碼自動啟動相應的掃描引擎，掃描結束後能夠把掃描結果自動入庫管理。

從系統的使用特點來說，SCAP是一個整合一鍵上傳，Git/Svn程式碼倉庫對接，Jenkins構建系統整合，Eclipse外掛整合，自動掃描檢測，二次分析引擎誤報自動過濾，增量對比誤報加白名單、掃描結果人工審計、漏洞工單對接，程式碼漏洞確認、程式碼修復跟進、檢測版本對比、報告匯出、漏洞管理、使用者管理等功能於一體的綜合性檢測管理平臺。不但適合在開發過程的事中小版本迭代測試管理，而且可以在事後做全版本程式碼的整體測試管理。

元件檢測產品：海雲安開源元件檢測分析管理系統

海雲安開源元件安全檢測分析平臺是一款集開源元件識別與安全管控於一體的軟體成分分析與管理系統，基於B/S架構，分為前端瀏覽器訪問、內容展示和後臺檢測引擎、服務端管理等兩大模組。採用自主研發的開源元件分析引擎為客戶提供開源元件的資產發現、智慧財產權隱患識別、風險分析、漏洞告警及安全管理等服務，幫助客戶掌握開源元件資產資訊，並及時獲取開源元件漏洞資訊，降低由開源元件帶來的安全及合規風險，保障客戶應用系統安全。

軟體資產可視化

支援包管理器，二進位制和程式碼片段資產資訊全面視覺化管理，自動生成綜合物料清單(BOM)。

快速精準發現元件漏洞

利用AI技術，結合公共漏洞庫和自有漏洞庫，快速精準發現開源元件漏洞風險，提供相容性最強的元件版本升級修復方案。

無縫對接開發流水線

使用輕量級外掛和API，無縫對接軟體開發全過程。

便捷友好使用

擁有簡潔豐富的使用者互動功能，使用者可以輕鬆完成掃描、稽核、生成報告等任務，提供Web和外掛等多種使用方式。

黑盒產品：海雲安移動應用安全檢測系統MARS2000

海雲安移動應用安全檢測系統採用移動應用APP動態模糊測試技術、移動應用APP漏洞智慧識別技術、移動應用APP漏洞動態驗證技術、主動探尋移動應用APP服務端漏洞等技術，支援對安卓、iOS和鴻蒙應用、小程式、公眾號、web等進行多維度的安全測試。可針對移動應用的開發狀態、軟體包狀態和執行狀態進行安全風險評估測試，結合獨立的漏洞庫對監控到的漏洞給出安全評估報告，報告包含漏洞描述、危害、修復建議等內容。移動應用安全檢測系統對提高移動應用APP安全監控水平，移動應用APP測試/安全管理人員對移動應用APP應用系統進行安全評估、安全加固起到了很重要的輔助作用。

系統具有以下優勢特點：

覆蓋面廣：覆蓋移動應用的客戶端、通訊管道、後臺服務端。安全檢測從應用自身安全、業務操作安全、通訊資料安全、服務端安全4方面360度全面無死角發現APP安全漏洞。

檢測程度深：可識別Android程式是否有加殼處理及殼的提供商，並支援對加殼處理後Android程式實行自動脫殼後進行安全檢測，發現更深層次的移動應用安全問題。目前支援脫掉市面上絕大多數移動應用安全廠商的免費殼。

覆蓋過程全：覆蓋應用開發全過程、應用安裝包檢測、應用執行時檢測、應用解除安裝。

檢測效率高：最快可在2小時內完成移動應用客戶端、通訊管道、後臺服務端安全檢測。

測試環境靈活：可在內網、外網開展移動應用安全檢測。

測試/分析分離：測試人員根據安測寶的測試指引進行測試，檢測平臺根據測試的結果自動進行APP的安全性分析。分工合理、明確、高效。

灰盒產品：智慧互動式安全檢測系統(SISS)

智慧互動式安全檢測系統(SISS)是我司結合WEB安全領域多年的專注研究和技術積累，採用智慧互動網路捕獲技術、漏洞智慧識別技術、漏洞動態驗證技術、主動探尋服務端漏洞、無損掃描等技術，實現對Web應用開發全生命週期進行安全測試。有效減低安全檢測成本，能夠高效、全方位的檢測網路中的各類脆弱性風險，提供專業、有效的安全分析和修補建議，減小受攻擊面，保障業務系統安全。

系統具有以下優勢特點：

功能：

主動掃描探測：系統支援獲取監聽的HTTP(S)的流量，從流量中自動提取資產列表，並利用深度URL去重模組進行URL分類和去重，以供後續漏洞掃描引擎模組使用。

Web漏洞掃描：系統能夠快速及時發現服務端隱藏的安全風險，提高伺服器的抗攻擊能力和安全性。

業務安全測試：支援檢測水平越權、垂直越權、登入介面安全、驗證碼安全等，針對不同場景支援定製化自動掃描，有效識別常見業務問題。

互動式測試：能夠將測試過程中的所有請求進行全面監聽和測試，確保覆蓋業務功能點。

優勢

無損安全掃描：系統採用了無損掃描技術，透過對支援的監測資產進行梳理和資訊收集，系統可以實現遠端，在不影響業務的前提下完成漏洞掃描。

精簡高效的工具管理：彌補了在當前的網路環境下，各種工具繁雜，部分被掛馬，缺乏工具的易用性、健壯性等方面缺陷，進行綜合管理。

真正的靜默式檢測：部署搭建測試網路，相關測試人員只需透過瀏覽器登入被測系統即可參與安全測試，無需啟動額外的程式、介面，簡單便捷。

系

原始碼安全管控系統

深圳海雲安網路安全技術有限公司推出的原始碼安全管控系統在應用軟體生命週期安全管理基礎之上，進一步擴充套件原始碼、製品、元件安全管控和製品釋出管理，幫助企業加強軟體供應鏈關鍵環節的安全管控。透過原始碼安全管控系統與SDL管理功能模組融合，彌補SDL注重開發環節安全檢測和流程管理，缺乏原始碼、製品、元件統一、唯一可信管控，實現對應用系統整個生命週期過程中的投入工作量、輸出成果、專案進度、安全狀況等內容進行集中管控，實現應用系統安全生命週期一站化管理、軟體供應鏈關鍵環節安全可信。

原始碼安全管控系統結合人員管理、制度流程、技術手段，在應用系統建設全生命週期進行安全任務植入，提供4個管理功能：應用系統開發生命週期安全管理、應用系統運營生命週期管理、應用系統CI/CD服務管理、應用系統等級保護管理；整合CI/CD服務和安全檢測工具鏈；構建完善應用安全知識庫。

原始碼安全管控系統最佳化現有開發全過程管理辦法，如安全需求規範、安全編碼規範、安全驗收與釋出規範等；建設原始碼倉庫、製品庫、元件庫三個倉庫，透過系統落實開發全過程管理辦法所要求的管控；

對開源元件進行持續分析管控，利用開源元件標準庫進行軟體供應鏈安全管理確保入庫元件來源可信；入庫元件進行安全檢測，保障元件使用可信；不在庫裡的元件，開發方透過安全檢測流程引進，嚴防帶入高風險漏洞，做到過程可信；並且持續跟蹤元件相關漏洞情報，及時通報、修正最新漏洞，實現全生命週期可信；

透過安全開發IDE外掛，實現開發人員原始碼訪問代理，實時程式碼質量檢測、程式碼安全審計、統計分析功能、提交檢測和檢視報告功能；

透過RASP應用安全防護工具，攔截從應用程式到系統的所有呼叫，實時檢測和阻斷安全攻擊，使應用程式具備自我保護能力，當應用程式遭受到實際攻擊傷害，就可以自動對其進行防禦；

對開發團隊安全開發能力進行成熟度評估，逐步要求不同安全等級的系統須由對應安全開發能力的團隊進行開發。