11月30日,开发安全厂商酷德啄木鸟在北京举行新品发布会,正式发布旗下新品——“析微”SCA软件成分分析系统。
酷德啄木鸟总经理杨临庆谈到,随着数字化、信息化的不断深入,软件已进入大众日常生活的方方面面。软件研发需求不断攀升,软件开发量也呈几何级增长。为了降低软件的开发成本和周期,企业的研发团队开始大量的利用开源软件组件以加快软件的开发速度。
从2012年起,已有超过80%的商业软件是在开源软件的基础上二次开发而形成的。Gartner也在一份报告中指出,现代软件大多数是被“组装”出来的,而不是被“开发”出来的。
开源代码的使用大幅度提高了软件研发效率、降低开发成本。但开源软件中存在的大量缺陷、甚至安全漏洞也一并进入了软件部署包,为软件带来巨大的安全风险。据业内统计,当前98%的代码库包含开源代码,每个代码库平均有528个组件,84%的代码库至少存在一个漏洞(比2019年的75%增加了9%。包含高风险漏洞的代码库的百分比在2020年增加到60%,比2019年审计的49%增加了11%。
杨临庆表示,除了软件供应链带来的攻击风险外,企业还面临着开源软件所带来的使用许可风险,开源组件受具有不同义务和限制级别的许可约束,这一点往往会被开发人员所忽略,如果不遵守开源许可,将会使企业面临诉讼甚至产品知识产权受到威胁,其给企业带来的风险甚至不亚于安全漏洞。
面对开源生态下越发严峻的安全威胁形势,网络安全业界厂商开始积极探索以软件成分分析技术SCA(Software Composition Analysis),试图寻找到一条对软件中的风险开源组件进行高效识别和管理的解决路径,而酷德啄木鸟自主研发的CodePecker软件成分分析系统“析微”也同样在这样的背景下应运而生。
杨临庆介绍,“析微”软件成分分析系统旨在帮助开发人员在整合第三方软件时,处理潜在的安全问题。系统通过分析应用软件包中的成分,包括软件来源、授权许可方式、版本号等信息,并对比漏洞库,判断检测包是否包含已知漏洞。帮助用户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。
在具体功能实现方面,“析微”软件成分分析系统重点为用户提供包括软件成分组成分析、软件依赖组件合规检测、软件依赖组件漏洞识别、软件成分分析项目管理以及软件成分统计分析等多重安全管理功能,帮助用户识别应用中的开源组件的协议,检查组件的授权许可,并甄别组件是否存在安全缺陷,识别可能存在安全漏洞的开源组件,从多个视角深刻反映软件应用构成的整体安全状况,以帮助用户在软件开发阶段介入开源组件管理手段,从代码源头解决安全问题。
杨临庆表示:“传统安全防御模式是救火队式的被动防御,通常都是在软件上线后才开始做的,酷德啄木鸟则提出了‘固本清源’的理念,希望能够打破传统安全的壁垒,从源头和代码最底层解决安全问题,提早发现软件代码的安全缺陷,将漏洞在萌芽时期修复,以基因检测式的主动防御帮助用户解决安全威胁。”
在最后的圆桌环节中,酷德啄木鸟总经理杨临庆、数世咨询CEO李少鹏、联通智慧安全科技CTO周凯三位嘉宾还就当前软件开发安全普遍存在的安全痛点,围绕开发安全建设应从何处入手、在开发安全建设过程中如何找到安全与业务发展的平衡点、如何选用适用自身发展阶段的开发安全产品、如何选择适合自身企业的开发安全供应商等多个实际问题进行了深度探讨,从多个视角为观众带来了专业的解读。
安全419关注到,作为一家成立于2013年的成熟型开发安全厂商,酷德啄木鸟已陆续推出了旗下的源代码缺陷分析系统-补阙(SAST)、动态测试工具-参透(DAST)、交互式安全检测系统-如影(IAST)、运行时应用自保护系统-关楗(RASP),随着软件成分分析系统“析微”(SCA)的发布,其DevSecOps全系工具链已逐渐趋于完备。
常言“工欲善其事,必先利其器”,在DevSecOps关注度水涨船高的当下,酷德啄木鸟注定将迎来一个快速发展的机遇期。