在當(dāng)下復(fù)雜的攻擊趨勢下，代碼自身的安全性愈發(fā)重要，相比于傳統(tǒng)的安全攻擊，攻擊者通過感染合法應(yīng)用后，分發(fā)惡意軟件來訪問源代碼以及構(gòu)建過程或更新機(jī)制，以此來達(dá)到攻擊者的非法目的。這種攻擊方式的關(guān)鍵就在于源代碼和開源組件，因此對(duì)源代碼和開源組件的保護(hù)就成為防護(hù)此類攻擊的關(guān)鍵手段。

01用戶痛點(diǎn)

代碼安全主要是對(duì)源代碼和開源組件進(jìn)行檢測防護(hù)，而源代碼和開源組件安全防護(hù)的痛點(diǎn)就在于：

1.缺乏完善且高質(zhì)量的漏洞數(shù)據(jù)庫；

2.資產(chǎn)透視深度不足；

3.難以追溯漏洞成因，在無安全專家的情況下，難以發(fā)現(xiàn)問題本質(zhì)；

4.存在誤報(bào)并且告警較多。

為了解決這些痛點(diǎn)，安天代碼安全檢測系統(tǒng)具備以下能力：

1.強(qiáng)大的開源組件識(shí)別能力；

2.全面的開源組件漏洞數(shù)據(jù)庫；

3.會(huì)做“閱讀理解”的檢測引擎，會(huì)聯(lián)系上下文進(jìn)行分析，有效降低漏掃率；

4.可視化的污點(diǎn)傳播途徑，可檢出因用戶數(shù)據(jù)流引起的深層次的風(fēng)險(xiǎn)漏洞。

02產(chǎn)品簡介

安天代碼安全檢測系統(tǒng)（簡稱“安天SCS”），是面向軟件開發(fā)場景的安全檢測系統(tǒng)，旨在取代繁重的人工步驟，在應(yīng)用上線前盡可能早地消滅高危漏洞、代碼風(fēng)險(xiǎn)等在內(nèi)的安全問題，從源頭上避免安全事故的發(fā)生；該系統(tǒng)具有高檢出、易部署、強(qiáng)擴(kuò)展等特性；具有檢測結(jié)果準(zhǔn)確率高、并且可一鍵接入開發(fā)流程，貼合業(yè)務(wù)不易漏掃開源組件；同時(shí)適用于大多數(shù)模式下開發(fā)場景等優(yōu)勢，是開源人員身邊的安全好幫手。

03產(chǎn)品優(yōu)勢

代碼安全檢測系統(tǒng)中有兩大重要模塊SCA和SAST。

其中SAST優(yōu)勢亮點(diǎn)在于：

1.會(huì)做“閱讀理解”的檢測引擎，會(huì)聯(lián)系上下文進(jìn)行分析，有效降低漏掃率。

2.可視化的污點(diǎn)傳播途徑，可檢出因用戶數(shù)據(jù)流引起的深層次的風(fēng)險(xiǎn)漏洞。其中污點(diǎn)傳播分析追蹤能力是我們SAST的重點(diǎn)檢測手段，它是一種跟蹤并分析污點(diǎn)信息在程序中流動(dòng)的技術(shù)，是提高靜態(tài)分析能力的一個(gè)重要的技術(shù)手段，能夠檢測出更深層次的代碼風(fēng)險(xiǎn)，同時(shí)會(huì)詳細(xì)的記錄風(fēng)險(xiǎn)的傳播來源和路徑，幫助開發(fā)人員快速定位問題。

而SCA的優(yōu)勢亮點(diǎn)在于：

1. 支持20余種常用語言，具備高質(zhì)量的知識(shí)庫，提供修復(fù)措施和部分應(yīng)急響應(yīng)方案。

2. 支持輸出軟件物流清單，組件信息一目了然，有效杜絕供應(yīng)鏈污染。

3. 具備二進(jìn)制掃描能力，在無源碼的情況下，同樣也能獲取組件信息。并且具備合理的系統(tǒng)組成架構(gòu)，SCA的系統(tǒng)結(jié)構(gòu)清晰，既可以通過WEB服務(wù)直接使用，也可以通過API服務(wù)接入到自己現(xiàn)有的系統(tǒng)中，同時(shí)還提供IDE和命令行，以及CI/CD多種接入方式，方便用戶快速接入到開發(fā)流程中。

04應(yīng)用價(jià)值

代碼安全檢測系統(tǒng)新品的應(yīng)用價(jià)值主要體現(xiàn)在可一站式解決前期開發(fā)流程中的安全問題，解決軟件開發(fā)中的代碼安全威脅問題；主要面向客戶的開發(fā)安全場景，在對(duì)軟件開發(fā)安全具有一定的需求，但企業(yè)又沒有安全專家的情況下，為企業(yè)提供全面、高效、準(zhǔn)確的代碼安全檢測，保障企業(yè)的軟件開發(fā)流程安全。

05最佳實(shí)踐

某制造業(yè)集團(tuán)公司是進(jìn)行數(shù)字化轉(zhuǎn)型的典范，積極開展高新技術(shù)研究和產(chǎn)業(yè)化探索。在加快業(yè)務(wù)轉(zhuǎn)型升級(jí)的同時(shí)，如何確保數(shù)字化業(yè)務(wù)系統(tǒng)的安全性是該企業(yè)實(shí)現(xiàn)發(fā)展轉(zhuǎn)型的當(dāng)務(wù)之急。該企業(yè)自身的開發(fā)項(xiàng)目很多，但是開發(fā)質(zhì)量參差不齊，許多業(yè)務(wù)上線后發(fā)現(xiàn)存在各類安全漏洞，開發(fā)人員需要耗費(fèi)大量時(shí)間和精力進(jìn)行修復(fù)。

安天為該企業(yè)建立開發(fā)安全管理體系，細(xì)化編碼的開發(fā)安全工作流程與職責(zé)，規(guī)范執(zhí)行開發(fā)安全設(shè)計(jì)、安全編碼與檢測、提升應(yīng)用安全防護(hù)能力，保障業(yè)務(wù)安全性和可靠性。同時(shí)將安全漏洞發(fā)現(xiàn)前置到編碼和測試階段，不僅提升了系統(tǒng)安全性，還極大地降低安全修復(fù)成本。