左移测试,如何确保安全合规还能实现高度自动化?

news2024/12/23 8:25:27

「云原生安全既是一种全新安全理念,也是实现云战略的前提。

基于蚂蚁集团内部多年实践,云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代码扫描Pinpoint,软件成分分析SCA,交互式安全测试IAST,运行时防护RASP,安全洞察Appinsight等,帮助企业客户应用软件实现『发布前检测,运行时免疫』。

本周,我们将持续分享解读四大产品。」

数字化时代软件已经成为人类社会基础设施的重要组成部分,软件与个人生活、社会民生、国家发展均日渐紧密,如何更好的保障软件安全成为各行业关注的焦点。

相关数据显示,75%的黑客攻击发生在应用层。一款软件产品从开发,测试,上线,在各个阶段均存在引入安全风险的可能,例如危险开源组件的使用、自研代码缺陷漏洞引入、容器镜像漏洞引入等。这些风险会导致软件系统的整体安全防护难度越来越大,以上这些风险,统称为软件供应链安全风险。

SOFAStack静态代码安全扫描产品Pinpoint是国内应用实践最广泛的静态代码安全产品之一,近期首批入选中国信通院「软件供应链安全」产品名录,并通过了公安部计算机信息系统安全产品质量监督检测中心权威测评,符合《信息安全技术软件源代码安全缺陷产品检测条件》相关要求。

左移测试,Pinpoint实现静态代码扫描

静态代码扫描是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对软件代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。

五大优势,快速完成百万行代码检测

SOFAStack静态代码安全扫描产品Pinpoint通过自研的分析引擎技术,能够在均衡分析精度、速度、深度的同时得到较好的分析结果。产品无需构造测试用例,即可自动寻找软件编码错误,可以让程序员迅速理解和修复问题,从而投入更多的时间到创造性的工作中。

  • 分析能力精准:Pinpoint采用了更为先进的静态分析技术,能找到更多和更难以人工找到的软件问题。这主要得益于Pinpoint独创的符号约束模型,高精度的指针分析和快速的约束求解算法,能对大型软件进行精确的全路径和深度的函数调用上下文分析,减少误报产生。
  • 覆盖全面:Pinpoint的分析能力覆盖完整系统,进行跨模块跨函数的全文分析。多套分析引擎可同时覆盖代码安全漏洞,代码质量缺陷,代码风格合规等分析场景。
  • 分析快速:对于动辄上百万行代码,且每分钟都在更新的大型软件而言,极难做到快速反应。Pinpoint采取多档位扫描技术,用轻量级分析,快速查找逻辑相对简单的错误。根据测试,对于Java代码,Pinpoint能在1小时内完成百万行代码级别的项目分析。
  • 适应不同分析场景:Pinpoint是市面上唯一一款可覆盖源代码扫描,二进制审计,应用依赖审计三种分析方式的静态分析产品。适应系统外包开发,系统内部开发,系统增量部署,中间件封装等多种开发场景。对于没有代码的应用,Pinpoint能够基于反编译后的代码进行展示,达到函数级别的代码匹配。
  • 易于理解和修复的缺陷解释:在具有优越的找错能力的同时,Pinpoint 能够给出准确的错误触发路径,以此来助力程序员理解和修复发现的软件问题。

典型案例:金融、制造多领域落地应用

目前,Pinpoint产品已经在金融、制造、教育、互联网等行业规模化落地实践,包括南京银行、浙江农信、中泰证券、珠海格力、广东电网等。

中泰证券,Pinpoint产品与中泰自研蜂鸟效能平台项目进行对接,在集成构建阶段,实现源代码的自动化扫描,满足证券行业《证券公司网络和信息安全三年提升计划(2023-2025)》相关要求。

在广东电网信息测评实验室,Pinpoint支撑了ARM架构下运行的程序的源代码分析工作,支持源代码扫描与分析、代码扫描策略配置、缺陷管理、安全知识库等功能,帮助实验室建立了自主可控操作系统下的源代码分析的能力,完成多编程语言的源代码安全缺陷分析工作。

珠海格力,基于Pinpoint增强的C/C++扫描能力,产品支持格力在嵌入式场景下错误异常处理,逻辑错误,内存与资源误用等问题检测,满足中国电子行业软件测试标准SJ/T 11682-2017(C/C++)标准,帮助格力更好的进行智能装备关键技术及产品的研发。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1153944.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2023年【道路运输企业安全生产管理人员】试题及解析及道路运输企业安全生产管理人员复审考试

题库来源:安全生产模拟考试一点通公众号小程序 道路运输企业安全生产管理人员试题及解析考前必练!安全生产模拟考试一点通每个月更新道路运输企业安全生产管理人员复审考试题目及答案!多做几遍,其实通过道路运输企业安全生产管理…

基于Docker使用Minikube

1. 查看并操控Minikube状态信息 Minikube相当于docker中的一个container,可以在Docker Desktop中看到并操控Minikube container的相关状态: 通过以下命令查看当前docker中的container: % docker ps CONTAINER ID IMAGE …

Win10搜索栏卡住无响应可以尝试以下方法

msdt.exe -ep WindowsHelp id SearchDiagnostic 参考: Fix problems in Windows Search - Windows Client | Microsoft Learn

Vue 项目中如何使用Bootstrap5(简单易懂)

Vue 项目中如何使用Bootstrap5(简单易懂) 安装在 src/main.js 文件下引入包在vue文件中使用 Bootstrap官网(中文):https://www.bootcss.com/ Bootstrap5文档:https://v5.bootcss.com/docs/getting-started/…

Django添加csrf保护机制

步骤 要在Django中启用CSRF保护,您可以按照以下步骤进行操作: 1. 在Django的settings.py文件中,确保django.middleware.csrf.CsrfViewMiddleware中间件已添加到MIDDLEWARE设置中。通常,这个中间件默认就会包含在其中。 2. 在HTM…

测试计划驱动开发模式 TPDD:一种比 TDD 更友好的开发模式

相信大部分开发团队都在使用TDD,并且还有很多开发团队都 对外声明 在使用 TDD 开发模式。 之所以说是“对外声明”,是因为很多开发团队虽然号称使用的是 TDD 开发模式,实际开发过程中却无法满足 TDD 的要求。 实际上,测试驱动的…

安科瑞AMC200多回路智能电量采集监控装置在隧道中的应用-安科瑞黄安南

1项目背景厂家直供黄安南1876-15//06-237 河南安阳林州市某高速公路项目是河南省政府主要打造的一项公路建设项目,该项目全长约70公里,起点位于安阳市内,终点位于林州市县。该项目总投资约60亿元人民币,建设工期预计为3年。 该项…

微信管理系统!

多微信聚合聊天 这个功能可以让你在一个页面上轻松切换多个微信,方便与多个客户进行沟通。这样可以避免在多个手机或电脑界面之间切换,提高工作效率。 群发功能 微信登陆上系统后,可以对好友/群进行群发消息(支持文字&#xff0…

基于深度学习的人脸表情识别 计算机竞赛

文章目录 0 前言1 技术介绍1.1 技术概括1.2 目前表情识别实现技术 2 实现效果3 深度学习表情识别实现过程3.1 网络架构3.2 数据3.3 实现流程3.4 部分实现代码 4 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 基于深度学习的人脸表情识别 该项目较…

电脑频繁出现程序无响应怎么办?

在Windows系统中每个运行的应用程序都会有一个进程,而每个进程会有多个线程,就如你打开微信同时与多个人聊天,而每个线程只能同时处理一个线程。若Windows向程序传递消息时,而程序在处理其他工作未作出反应,Windows就会…

Hadoop RPC简介

数新网络-让每个人享受数据的价值https://www.datacyber.com/ 前 言 RPC(Remote Procedure Call)远程过程调用协议,一种通过网络从远程计算机上请求服务,而不需要了解底层网络技术的协议。RPC它假定某些协议的存在,例…

二进制搭建 Kubernetes与k8s集群搭建(一)

目录 二进制搭建 Kubernetes v1.20 操作系统初始化配置 部署 docker引擎 部署 etcd 集群 准备签发证书环境 在 master01 节点上操作 生成Etcd证书 在 node01 节点上操作 在 node02 节点上操作 部署 Master 组件 在 master01 节点上操作 部署 Worker Node …

企业通关必备,iPaaS应该这样搭建

iPaaS是指集成平台即服务(Integration Platform as a Service),是一种云计算服务,提供了一套工具和服务来帮助企业集成不同的应用程序、数据和系统。iPaaS也可以通过云端的方式,将企业内部的应用程序与云端应用程序进行…

nodejs使用axios以formdata形式上传图片

nodejs使用axios以formdata形式上传图片 FormData是一种用于发送表单数据的接口,它可以用来上传文件。在前端,可以通过创建一个FormData对象,将要上传的文件添加到这个对象中,然后通过AJAX请求将这个FormData对象发送给服务器。服…

unity性能优化__Statistic状态分析

在Unity的Game视图右上角,我们会看到有Stats选项,点击会出现这样的信息 我使用的Unity版本是2019.4.16 一、Audio,顾名思义是声音信息 1:Level:-74.8dB 声音的相对强度或音量。通常,音量级别以分贝(dB&a…

超2000个大模型应用,支持文心4.0!AI Studio星河大模型社区升级上新

想给自己做个私人定制的旅行攻略,满足个性化的出游需求,还要细致关注到天气、穿衣、老人孩子的作息等等,但太耗时费力怎么办?让AI帮忙搞定。一位开发者在AI Studio星河大模型社区用短短数小时就做好了“旅行规划家”智能应用。像这…

睿趣科技:抖音开网店真的能相信吗

随着互联网的发展,越来越多的人开始尝试在网上开店。抖音作为一款短视频平台,近年来也逐渐成为了一个热门的电商平台。然而,关于抖音开网店是否真的能相信的问题,一直存在争议。 首先,我们需要了解抖音作为一个电商平台…

科幻类小说,探索科幻巨作,开启无限遐想,感受未知的奇妙世界

如果你渴望探索未来的无尽可能性,感受未知的魅力,那么小郑为你推荐三本科幻小说。这些书籍将带你进入一个充满惊喜的世界,让你对未来充满期待。 《星舰流浪文明》 这是一本硬科幻小说,讲述了星舰流浪文明的故事。这个文明在宇宙中…

【K8s】 资源管理命令-陈述式

一、资源管理介绍 1、资源管理概念 在kubernetes中,所有的内容都抽象为资源,用户需要通过操作资源来管理kubernetes //kubernetes的本质就是一个集群系统,用户可以在集群中部署各种服务,起始就是在kubernetes集群中运行一个个容…

云原生安全日志审计

记得添加,把配置文件挂载进去 - mountPath: /etc/kubernetes/auditname: audit-policyreadOnly: true.....- hostPath:path: /etc/kubernetes/audit/type: DirectoryOrCreatename: audit-policy/etc/kubernetes/manifests/kube-apiserver.yaml 具体配置文件如下 a…