随着数字化变革的进程不断深化,软件、应用系统作为构建数字化的必要基础元素,对企业的核心发展至关重要,据Gartner调查显示,有90%的企业或组织在其 IT系统中使用了开源软件,随之而来又经常被忽略的是:绝大多数应用程序包含开源组件风险,为企业软件系统安全性和可控性带来巨大的风险挑战。见微知未来,pg电子官方网站助力金融机构数字化转型,打造一套以“标准体系”+“关键技术”+“治理平台”并举的安全平台,开源软件全生命周期安全管控平台DOSSM 应运而生。
建立配套的开源软件管理制度,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,形成完备的规范模式,统一底部的管理。
建立管理项目开源产品使用情况管理,涉及开源使用台账管理、开源准入清单管理
支持将应用检测结果以物料清单形式生成,提供报告生成查看等,并可以根据需求提供软件漏洞风险、许可证合规性风险预警
支持将应用检测结果以组件工单管理,可以只管看到与组件关联的项目、依赖、最新版本及漏洞数量级
支持将应用检测结果以许可证工单管理,即同步项目安全扫描工具许可证数据,关联项目可组件
包含漏洞工单管理、漏洞流程和漏洞跟踪,即同步项目安全扫描工具漏洞数据,项目漏洞自动/手动发起漏洞流程,跟踪漏洞修复状态和预警。
支持将应用检测结果进行数据分析、提取分析报告,进行集中管理,并根据报告追踪项目及任务。
包括漏洞管理、许可证管理、开源产品资讯管理、开源产品运维实践管理,主要爬取主流漏洞网站、主流许可证信息、开源咨询信息以及主流开源产品运维实践,清洗加工、实时监控、智能预警、运维监控和集中分析。
包含项目风险、许可证风险、组件风险、漏洞风险,并对讯在风险的项目、许可证、组件、漏洞进行统一展示、统一运维、统一跟踪管理。
DOSSM可以与 DevOps 流程无缝结合,形成自动化可视化的DevScaOps,在流水线的相应阶段自动发现应用程序中的开源组件,提供关键的版本控制和使用信息,并在 DevOps 的任何阶段检测到漏洞风险和策略风险时触发警报。所有这些信息都通过安全和开发团队的所使用的平台工具实时发送,从而实现了及时的反馈循环和快速行动。
与传统 SCA 产品相比,DOSSM拥有运行时分析能力,以准确识别应用程序是否实际使用了易受攻击的组件,进一步确认漏洞的真实有效性,使开发人员避免面对数量巨大的误报和无法利用的漏洞,帮助他们区分优先级,将有限的修复精力集中在真正重要的漏洞上。
DOSSM 帮您管理应用程序中所使用的全部第三方组件的安全态势。通过在云端的“知识库”监控众多开源软件漏洞情报来源,通过清洗、匹配、关联等一系列自动化数据分析处理后,向DOSSM 及时推送开源软件风险信息,让用户及时获取影响其安全的最新开源软件漏洞和许可证风险情报。
DOSSM 是成熟的开源软件成分分析信息化应用创新产品,技术完全自主研发,安全可控。同时,D OSSM 的漏洞信息兼容国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD),支持各种合规性检测场景,满足国内行业监管法规要求。
在不改变企业现有开发测试流程的前提下,该系统与代码版本管理系统、构建工具、持续集成系统、缺陷跟踪系统等无缝对接,将源代码缺陷检测和源代码合规检测融入到企业开发测试流程中,帮助企业以最小代价落地源代码安全保障体系,降低软件安全问题的修复成本,提升软件安全质量。
平台支持开发阶段、CI/CD 阶段及测试阶段全流程对开源组件的检测,梳理并管控开源组件信息,并从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系,通过可视化拓扑图,多维度的展示详细的 BOM 清单的调用关系, 助力使用者快速制定解决方案。
提供全面的第三方组件和自研组件的识别定位,对其合规性进行检测,规避法律风险,并在安全检测后支撑快速清理或组件升级。
用户可分别导出每次检测结果(组件、漏洞),同时也可以生成项目级、任务级报告,便于对整个项目及任务进行管理和汇报。
一站式自动检测,帮助客户识别和管理开源软件中的安全漏洞和风险,及时高效的修复,提高系统的安全性和稳定性。
通过对开源软件进行许可证扫描和版权检测,客户可以确保其使用的开源软件符合法律法规和许可证要求,从而避免版权纠纷和法律风险。
平台可按照公司级、部门级、项目级进行数据可视化展示,同时,平台也支持项目级、任务级报告生成,便于向上汇报安全情况。
通过对开源软件进行许可证管理和版本管理,客户可以避免因为使用不合规的开源软件而产生的额外费用和法律风险,从而节省成本。
王聪:13811150425