隨著數字化變革的進程不斷深化,軟件、應用系統作為構建數字化的必要基礎元素,對企業的核心發展至關重要,據Gartner調查顯示,有90%的企業或組織在其 IT系統中使用了開源軟件,隨之而來又經常被忽略的是:絕大多數應用程序包含開源組件風險,為企業軟件系統安全性和可控性帶來巨大的風險挑戰。見微知未來,神州信息助力金融機構數字化轉型,打造一套以“標準體系”+“關鍵技術”+“治理平臺”并舉的安全平臺,開源軟件全生命周期安全管控平臺DOSSM 應運而生。
建立配套的開源軟件管理制度,對開源軟件的引入、使用、更新、退出的全流程管理提出明確規定,形成完備的規范模式,統一底部的管理。
建立管理項目開源產品使用情況管理,涉及開源使用臺賬管理、開源準入清單管理
支持將應用檢測結果以物料清單形式生成,提供報告生成查看等,并可以根據需求提供軟件漏洞風險、許可證合規性風險預警
支持將應用檢測結果以組件工單管理,可以只管看到與組件關聯的項目、依賴、最新版本及漏洞數量級
支持將應用檢測結果以許可證工單管理,即同步項目安全掃描工具許可證數據,關聯項目可組件
包含漏洞工單管理、漏洞流程和漏洞跟蹤,即同步項目安全掃描工具漏洞數據,項目漏洞自動/手動發起漏洞流程,跟蹤漏洞修復狀態和預警。
支持將應用檢測結果進行數據分析、提取分析報告,進行集中管理,并根據報告追蹤項目及任務。
包括漏洞管理、許可證管理、開源產品資訊管理、開源產品運維實踐管理,主要爬取主流漏洞網站、主流許可證信息、開源咨詢信息以及主流開源產品運維實踐,清洗加工、實時監控、智能預警、運維監控和集中分析。
包含項目風險、許可證風險、組件風險、漏洞風險,并對訊在風險的項目、許可證、組件、漏洞進行統一展示、統一運維、統一跟蹤管理。
DOSSM可以與 DevOps 流程無縫結合,形成自動化可視化的DevScaOps,在流水線的相應階段自動發現應用程序中的開源組件,提供關鍵的版本控制和使用信息,并在 DevOps 的任何階段檢測到漏洞風險和策略風險時觸發警報。所有這些信息都通過安全和開發團隊的所使用的平臺工具實時發送,從而實現了及時的反饋循環和快速行動。
與傳統 SCA 產品相比,DOSSM擁有運行時分析能力,以準確識別應用程序是否實際使用了易受攻擊的組件,進一步確認漏洞的真實有效性,使開發人員避免面對數量巨大的誤報和無法利用的漏洞,幫助他們區分優先級,將有限的修復精力集中在真正重要的漏洞上。
DOSSM 幫您管理應用程序中所使用的全部第三方組件的安全態勢。通過在云端的“知識庫”監控眾多開源軟件漏洞情報來源,通過清洗、匹配、關聯等一系列自動化數據分析處理后,向DOSSM 及時推送開源軟件風險信息,讓用戶及時獲取影響其安全的最新開源軟件漏洞和許可證風險情報。
DOSSM 是成熟的開源軟件成分分析信息化應用創新產品,技術完全自主研發,安全可控。同時,D OSSM 的漏洞信息兼容國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平臺(CNVD),支持各種合規性檢測場景,滿足國內行業監管法規要求。
在不改變企業現有開發測試流程的前提下,該系統與代碼版本管理系統、構建工具、持續集成系統、缺陷跟蹤系統等無縫對接,將源代碼缺陷檢測和源代碼合規檢測融入到企業開發測試流程中,幫助企業以最小代價落地源代碼安全保障體系,降低軟件安全問題的修復成本,提升軟件安全質量。
平臺支持開發階段、CI/CD 階段及測試階段全流程對開源組件的檢測,梳理并管控開源組件信息,并從企業、部門、項目及任務等多角度分析組件的影響范圍和依賴關系,通過可視化拓撲圖,多維度的展示詳細的 BOM 清單的調用關系, 助力使用者快速制定解決方案。
提供全面的第三方組件和自研組件的識別定位,對其合規性進行檢測,規避法律風險,并在安全檢測后支撐快速清理或組件升級。
用戶可分別導出每次檢測結果(組件、漏洞),同時也可以生成項目級、任務級報告,便于對整個項目及任務進行管理和匯報。
一站式自動檢測,幫助客戶識別和管理開源軟件中的安全漏洞和風險,及時高效的修復,提高系統的安全性和穩定性。
通過對開源軟件進行許可證掃描和版權檢測,客戶可以確保其使用的開源軟件符合法律法規和許可證要求,從而避免版權糾紛和法律風險。
平臺可按照公司級、部門級、項目級進行數據可視化展示,同時,平臺也支持項目級、任務級報告生成,便于向上匯報安全情況。
通過對開源軟件進行許可證管理和版本管理,客戶可以避免因為使用不合規的開源軟件而產生的額外費用和法律風險,從而節省成本。
王聰:13811150425