左移测试,如何确保安全合规还能实现高度自动化?

「云原生安全既是一种全新安全理念,也是实现云战略的前提。

基于蚂蚁集团内部多年实践,云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代码扫描Pinpoint,软件成分分析SCA,交互式安全测试IAST,运行时防护RASP,安全洞察Appinsight等,帮助企业客户应用软件实现『发布前检测,运行时免疫』。

本周,我们将持续分享解读四大产品。」

数字化时代软件已经成为人类社会基础设施的重要组成部分,软件与个人生活、社会民生、国家发展均日渐紧密,如何更好的保障软件安全成为各行业关注的焦点。

相关数据显示,75%的黑客攻击发生在应用层。一款软件产品从开发,测试,上线,在各个阶段均存在引入安全风险的可能,例如危险开源组件的使用、自研代码缺陷漏洞引入、容器镜像漏洞引入等。这些风险会导致软件系统的整体安全防护难度越来越大,以上这些风险,统称为软件供应链安全风险。

SOFAStack静态代码安全扫描产品Pinpoint是国内应用实践最广泛的静态代码安全产品之一,近期首批入选中国信通院「软件供应链安全」产品名录,并通过了公安部计算机信息系统安全产品质量监督检测中心权威测评,符合《信息安全技术软件源代码安全缺陷产品检测条件》相关要求。

左移测试,Pinpoint实现静态代码扫描

静态代码扫描是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对软件代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。

五大优势,快速完成百万行代码检测

SOFAStack静态代码安全扫描产品Pinpoint通过自研的分析引擎技术,能够在均衡分析精度、速度、深度的同时得到较好的分析结果。产品无需构造测试用例,即可自动寻找软件编码错误,可以让程序员迅速理解和修复问题,从而投入更多的时间到创造性的工作中。

  • 分析能力精准:Pinpoint采用了更为先进的静态分析技术,能找到更多和更难以人工找到的软件问题。这主要得益于Pinpoint独创的符号约束模型,高精度的指针分析和快速的约束求解算法,能对大型软件进行精确的全路径和深度的函数调用上下文分析,减少误报产生。
  • 覆盖全面:Pinpoint的分析能力覆盖完整系统,进行跨模块跨函数的全文分析。多套分析引擎可同时覆盖代码安全漏洞,代码质量缺陷,代码风格合规等分析场景。
  • 分析快速:对于动辄上百万行代码,且每分钟都在更新的大型软件而言,极难做到快速反应。Pinpoint采取多档位扫描技术,用轻量级分析,快速查找逻辑相对简单的错误。根据测试,对于Java代码,Pinpoint能在1小时内完成百万行代码级别的项目分析。
  • 适应不同分析场景:Pinpoint是市面上唯一一款可覆盖源代码扫描,二进制审计,应用依赖审计三种分析方式的静态分析产品。适应系统外包开发,系统内部开发,系统增量部署,中间件封装等多种开发场景。对于没有代码的应用,Pinpoint能够基于反编译后的代码进行展示,达到函数级别的代码匹配。
  • 易于理解和修复的缺陷解释:在具有优越的找错能力的同时,Pinpoint 能够给出准确的错误触发路径,以此来助力程序员理解和修复发现的软件问题。

典型案例:金融、制造多领域落地应用

目前,Pinpoint产品已经在金融、制造、教育、互联网等行业规模化落地实践,包括南京银行、浙江农信、中泰证券、珠海格力、广东电网等。

中泰证券,Pinpoint产品与中泰自研蜂鸟效能平台项目进行对接,在集成构建阶段,实现源代码的自动化扫描,满足证券行业《证券公司网络和信息安全三年提升计划(2023-2025)》相关要求。

在广东电网信息测评实验室,Pinpoint支撑了ARM架构下运行的程序的源代码分析工作,支持源代码扫描与分析、代码扫描策略配置、缺陷管理、安全知识库等功能,帮助实验室建立了自主可控操作系统下的源代码分析的能力,完成多编程语言的源代码安全缺陷分析工作。

珠海格力,基于Pinpoint增强的C/C++扫描能力,产品支持格力在嵌入式场景下错误异常处理,逻辑错误,内存与资源误用等问题检测,满足中国电子行业软件测试标准SJ/T 11682-2017(C/C++)标准,帮助格力更好的进行智能装备关键技术及产品的研发。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/177753.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【密评】商用密码应用安全性评估从业人员考核题库(十七)

商用密码应用安全性评估从业人员考核题库(十七) 国密局给的参考题库5000道只是基础题,后续更新完5000还会继续更其他高质量题库,持续学习,共同进步。 4001 多项选择题 网络和通信安全层面的通信主体一般包括哪些&…

uni-app 微信小程序 搜索关键字后 结果中的关键字变色

如图:想实现搜索关键字,搜索到的内容中把包含的此字变为蓝色。 实现方式如下:此方式是uniapp开发运行到微信小程序的代码。 第一种方法:小程序自己实现 1.布局写法 *[HTML]: 没有使用花括号渲染,所以需要 $options.filters 来…

平面波向球面波的展开

平面波向球面波的展开是一个极其重要的话题 手稿放在文章的结尾处 勒让德展开 citation 1: 我们整理一下,对exp(x)做泰勒展开,得 citation 2: 我们先把精力集中到解决这个积分上去 反复利用分部积分 考虑到奇偶性问题 当且仅当时积分不为零现在做变换 …

红队专题-从零开始VC++C/S远程控制软件RAT-MFC-远程桌面屏幕监控

红队专题 招募六边形战士队员[24]屏幕监控-(1)屏幕查看与控制技术的讲解图像压缩算法图像数据转换其他 [25]---屏幕监控(2)查看屏幕的实现添加 CScreen类获取图像声明变量stdafx.h 头文件处理发送函数 7.1 屏幕抓图显示创建对话框工程,拉入图片显示控件修改控件为位…

解析mfc100u.dll文件丢失的修复方法,快速解决mfc100u.dll问题

在计算机使用过程中,我们经常会遇到一些错误提示,其中最常见的就是“缺少某个文件”的错误。最近,我也遇到了一个这样的问题,那就是“mfc100u.dll丢失”。这个问题可能会导致某些应用程序无法正常运行,给我们带来困扰。…

精品Python空巢老人志愿服务平台慈善捐赠活动报名

《[含文档PPT源码等]精品基于Python的空巢老人志愿服务平台》该项目含有源码、文档、PPT、配套开发软件、软件安装教程、项目发布教程、包运行成功! 软件开发环境及开发工具: 开发语言:python 使用框架:Django 前端技术&#…

PicoDiagnostics (NVH设备软件)-电脑无法识别示波器(安装驱动)

有些用户第一次使用示波器时(或者更换电脑使用示波器时),发现电脑识别不了示波器,出现此类问题,可以根据下述方法进行解决。 我们先来看看软件识别到示波器的状态: PS7版本的软件中,可以点击软件…

[Linux 基础] Linux使用git上传gitee三板斧

文章目录 1、使用git1.1 安装git1.2 在Gitee上创建项目1.2.1 使用Gitee创建项目1.2.2 上传本地代码到远端仓库 1.3 git上传三板斧1.3.1 三板斧第一招:git add1.3.2 三板斧第二招:git commit1.3.3 三板斧第三招:git push 1、使用git 1.1 安装…

神经网络的解释方法之CAM、Grad-CAM、Grad-CAM++、LayerCAM

原理优点缺点GAP将多维特征映射降维为一个固定长度的特征向量①减少了模型的参数量;②保留更多的空间位置信息;③可并行计算,计算效率高;④具有一定程度的不变性①可能导致信息的损失;②忽略不同尺度的空间信息CAM利用…

本地创建一个虚拟机,并且能够连接到外网

1、从官网下载虚拟机 2、详细的安装教程 点击这里 其中这里的获取,我们店自动IP地址获取就行了,DNS也是自动获取就行了。 4、注意事项 4.1 linux命令:vim: command not found无法使用解决方案, 点击这里

Flask Shell 操作 SQLite

一、前言 这段时间在玩Flask Web,发现用Flask Shell去操作SQLite还是比较方便的。今天简单地介绍一下。 二、SQLite SQLite是一种嵌入式数据库,它的数据库就是一个文件,处理速度快,经常被集成在各种应用程序中,在IO…

记录rider编辑器快速文档 中英文显示的问题

起初是不同的项目里快速文档一个项目显示中文 一个项目显示英文 搞了很久不知道哪里的原因 偶然灵机一动,点开了下面docs.microsoft.com的地址进去一看 发现一个是4.6的文档 一个是4.6.1的文档 所以去项目属性里 切换了framework的版本. 然后汉化就好了 纯属强迫症,而且…

关于CSS的几种字体悬浮的设置方法

关于CSS的几种字体悬浮的设置方法 1. 鼠标放上动态的2. 静态的&#xff08;位置看上悬浮&#xff09;2.1 参考QQ邮箱2.2 参考知乎 1. 鼠标放上动态的 效果如下&#xff1a; 代码如下&#xff1a; <!DOCTYPE html> <html lang"en"> <head><met…

博后像苦力,ChatGPT来助力?nature:博士后三分之一在用GPT帮忙工作

最近&#xff0c;在《nature》杂志第二次全球博士后调查的结果中&#xff0c;31%的受访者报告使用ChatGPT&#xff0c;使用者中43%每周使用一次&#xff0c;17%每天都使用。 其中&#xff0c;使用ChatGPT最常见的用途是完善文本&#xff08;63%&#xff09;&#xff0c;最多的领…

CSS内容过多保留固定字数并显示省略号

一、业务场景&#xff1a; 详情内容过多时&#xff0c;会使布局错乱&#xff0c;需要保留固定的字数&#xff0c;鼠标划上显示出全部内容 三、具体实现步骤&#xff1a; <a-tooltip><template slot"title">{{lastChe}}</template><span class…

C语言 Number 1 基本数据类型

数据类型的定义 c语言的数据分类基本类型整型浮点型float和double的精度和范围范围精度 枚举类型空类型派生类型派生的一般表达形式 注 c语言的数据分类 首先是针对C语言的数据类型做个整理 大致分为四个大类型 基本类型枚举类型空类型派生类型 那么根据以上四个大类型 我们…

领先实践|IDEO 最佳设计思维和策略框架

设计思维是一种以人为本的创新方法&#xff0c;它从人类的角度出发&#xff0c;考虑技术上可行和经济上可行的内容。框架可以成为实现设计思维、策略和系统设计的有用工具。本文由此展开阐述 IDEO 的最佳设计思维和策略框架。 01. 设计思维框架 1.1 设计思维过程 设计思维?是…

Logstash学习

1、什么是logstash logstash是一个数据抽取工具&#xff0c;将数据从一个地方转移到另一个地方。如hadoop生态圈的sqoop等。下载地址: https://www.elastic.co/cn/downloads/logstash logstash之所以功能强大和流行&#xff0c;还与其丰富的过滤器插件是分不开的&#xff0c;过…

Louis 谈 Restaking:去中心化信任的交流电时刻

人际信任是社会资本的主要形态。信任促成协作&#xff08;主要是经济交易&#xff09;&#xff0c;是人类文明的基石。 当全球已有数十亿人接入互联网&#xff0c;协作的物理限制已经消除&#xff0c;但传统的人际信任仍然局限于家族、长期积累的声誉和长期相处形成的私人关系…

开发板挂载 Ubuntu 的 NFS 目录

前言 使用的开发板为韦东山老师的 IMX6ULL 目录 什么是 NFS 协议&#xff1f; 为什么要挂载 Ubuntu 的 nfs 目录&#xff1f; 开发板挂载 Ubuntu 的 NFS 目录 步骤 1. 确定 ubuntu 的桥接网卡 IP 2. 判断是否开权限了 3. 判断是否安装并启动 NFS 服务 4. 在开发板上执…