助力軟體供應鏈安全 螞蟻集團多項產品入選信通院優秀案例

近日，由中國資訊通訊研究院（以下簡稱“中國信通院”）主辦，中國通訊標準化協會雲端計算標準和開源推進委員會承辦的3SCON軟體供應鏈安全會議以線上直播形式召開。會上主辦方釋出了首期《軟體供應鏈廠商和產品名錄》，螞蟻集團多項技術產品入選優秀實踐案例。
 
《軟體供應鏈廠商和產品名錄》旨在應對軟體供應鏈安全治理難題，為使用者選擇合適廠商及產品提供選型指導，此次螞蟻集團旗下包括子公司共有6項產品同時入選，分別是4款資訊保安軟體：“原始碼靜態缺陷分析系統Pinpoint”、“軟體成分分析工具SCA”、“應用執行時安全切面防護平臺RASP”、以及“互動式應用安全測試切面平臺IAST”；及兩款資料庫管理系統：“TuGraph企業級圖資料庫管理平臺”和“OceanBase資料庫軟體”
 
原始碼靜態缺陷分析系統Pinpoint透過融合多套分析引擎技術，在分析精度，速度，深度等方面均衡得到較好的分析結果，能夠自動尋找軟體的編碼錯誤，無需人工干預，在發現缺陷的同時還能給出問題的觸發過程。可幫助開發人員集中精力完成開發進度的同時提高軟體質量，大幅減少生產成本，提高研發效能。
 
軟體成分分析工具SCA是從螞蟻大規模研發實踐出發，採用全自研的軟體成分分析引擎，為自身以及金融機構提供軟體供應鏈的基礎分析能力，可以針對軟體、元件、原始碼等多種形式的資訊資產實現分析，提供高精度的SBOM，同時配合螞蟻內部的研發流程，實現開源元件的全生命週期治理。
 
應用執行時安全切面防護平臺RSAP是一款利用切面技術將檢測策略注入到被保護應用的服務程式中，能夠提供函式級別的實時威脅檢測，達到有效防禦web應用攻擊的目的。主要功能包括：豐富的web漏洞檢測能力、自定義設定規則、無侵入注入策略、實時解析Payload、精準攔截攻擊、視覺化呈現威脅事件等。適用於大量使用開源元件的網際網路應用以及第三方整合商開發的行業應用場景。在大規模部署和雙十一核心鏈路場景驗證下高穩定執行，呈現上萬次攔截、零次誤報的實際效果。
 
互動式應用安全測試切面平臺IAST是一種將檢測探針植入應用程式內部，在程式執行時進行漏洞檢測的技術。由於IAST可以有效的檢測任意程式碼和命令執行、SSRF、任意反序列化、藉口未授權、水平越權、XXE、SQL隱碼攻擊等多種漏洞，成為與白盒和黑盒並列的應用安全測試技術之一，也是螞蟻安全平行切面中DevSecOps落地的重要實踐之一。適用於大量使用開源元件的網際網路應用以及第三方整合商開發的行業應用場景。
 
目前，上述4款資訊保安軟體已經整合至螞蟻集團自主研發的雲原生PaaS平臺SOFAStack4.0對外輸出。今年11月，SOFAStack4.0升級釋出，將安全能力作為架構升級的重點，提供包括軟體供應鏈安全、計算環境安全、應用增強安全等多維度的安全能力，為金融機構及企業客戶的IT系統安全保駕護航，目前已經服務超百家機構客戶。
 
TuGraph企業級圖資料管理平臺是螞蟻集團自研的一站式圖資料庫產品，具有萬億圖資料處理能力，可用於解決金融風控場景的交易網路分析、團伙識別、路徑追蹤等問題。在螞蟻集團內部實踐中，TuGraph可以將風險審理分析效率提升90% 。今年8月，國際權威圖資料庫測試機構LDBC公佈了一項行業通用的社交網路基準（SNB）測試最新結果，TuGraph在吞吐率測試上打破官方審計紀錄，繼2020年之後再次獲得世界第一。
 
OceanBase是一款原生分散式資料庫，也是全球唯一在 TPC-C 和 TPC-H 測試上都重新整理了世界紀錄的自研原生分散式資料庫，目前已服務金融、能源、交通等400餘家客戶實現核心系統升級。
 
據瞭解，《軟體供應鏈廠商和產品名錄》從廠商和產品兩大維度進行名錄展示，旨在從供應鏈供需雙方視角出發，一方面幫助軟體供應鏈需求側企業進行選型參考，另一方面助力供應側企業明確並規範安全要求，從而實現向業界普及軟體供應鏈安全理念，建立安全可信生態，進而推動我國軟體供應鏈安全產業發展的目標。