近日，中国信息通信研究院在2024全球数字经济大会—数字安全生态建设专题论坛正式发布首期《数字安全护航技术能力全景图》（以下简称全景图）。

      比瓴科技入选软件供应链安全赛道“开发流程安全管控、交互式安全测试、静态安全测试、软件成分分析”，并位居DevSecOps领域第一；覆盖数字安全服务赛道“安全意识与培训、渗透测试/众测、攻防演练、安全咨询与规划”。

      中国信息通信研究院（以下简称信通院）“数字安全护航计划”为助推中国数字经济高质量发展，助力数字中国建设提供有力支持，发起了全景图的征集工作。比瓴此次入选双赛道，代表了信通院对比瓴安全产品和安全服务在数字经济市场发展中能力成熟度、技术创新和行业贡献的认可。比瓴愿加入“数字安全护航计划”，携手信通院一起为数字安全贡献力量，为数字经济的发展保驾护航。

 

开发安全运营一体化解决方案（DevSecOps）

      当今软件开发的节奏日益加快，但安全与效率并非不可兼顾。比瓴科技DevsecOps咨询服务致力于将安全与效率结合，帮助组织在实现软件产品快速交付的同时，确保软件安全性。

      威胁识别

      通过不断更新和扩展的资源库，帮助项目组积极地识别和防范潜在的安全威胁，通过智能化的内容整合和易于搜索的界面，快速获取所需的安全信息，有效地提高开发过程的安全性和合规性。

      态势管理

      与SCA、SAST、IAST等开发工具链无缝集成，与Git、Jenkins等开发工具链无缝集成，持续识别安全风险，对风险进行量化和优先级排序，提升安全活动的自动化水平，帮助组织有效分配资源，处理最严重的安全问题。

      持续优化

      建立安全体系并不断地改善和优化，在不牺牲开发速度的前提下，提高应用的安全性，减少未来安全事件的发生。

 

瓴镜—软件成分分析系统（SCA）

      瓴镜SCA系统支撑检测评估业务场景，通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息，利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能，帮助用户掌握开源软件资产信息，及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，保障企业交付更安全的软件。

      基于包管理器的软件成分分析技术

      开源软件识别与分析技术：瓴镜SCA通过高自动化和高准确性的文件特征提取机模拟构建分析引擎，快速生成全面且准确的组件清单，并分析各组件的漏洞风险及许可证风险。

      基于多链路的组件依赖分析技术

      瓴镜SCA基于多链路的组件依赖分析技术，结合拟构建和开源数据核验，以图形化展示提供清晰直观的组件依赖关系图。

      漏洞可达性分析技术

      瓴镜SCA结合AST信息提取和开源组件知识库，精确分析函数调用链和位置，凭借在国家级攻防演练中积累的漏洞利用规则库，能够清晰准确地判断组件的真实调用情况和漏洞的可达性。

      基于AI的凭证检测技术

      瓴镜SCA通过静态匹配规则、熵字符串检索和机器学习算法，综合检测应用程序中的敏感数据，有效识别和保护显式及隐式存储的凭证信息，以防止数据泄露。

 

瓴域—安全开发管理系统（SDLM）

      安全开发管理系统，旨在为客户提供统一的安全开发全生命周期管理服务，帮助客户建立起高效敏捷的开发安全管控体系。平台打通项目和应用系统各阶段（立项、设计、开发、上线/变更、运行）中安全管控及安全检测节点，进行安全开发全流程整合，从而实现安全开发管控全流程工作效率可看见、可管理、可提升；同时平台利用收集到开发过程中的执行数据，形成项目安全画像及应用安全画像，从各种维度综合展现项目及应用安全开发态势，为安全运营提供数据支持。

 

瓴镜—源代码安全审计系统（SAST）

      瓴镜-源代码安全审计系统是采用领先的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、减少不必要的软件补丁升级，为软件的信息安全保驾护航。

 

瓴镜—交互式应用安全检测系统（IAST）

      瓴镜交互式应用安全检测系统在应用上线前必不可少的安全工具，专门用于发现潜在的安全风险。其最大的特点在于采用了一种独特的“被动插桩模式”，这意味着它不会对正在运行的系统或应用程序产生任何干扰或产生不必要的数据。用户在使用时，只需通过简洁的管理界面进行项目配置，系统便会自动开始对应用程序的数据流进行分析。这种分析是实时的，能够在应用程序运行时捕捉到任何可疑行为或漏洞。一旦检测到潜在的安全漏洞，系统会立即向用户发出警报，并为用户提供详细的漏洞信息和解决方案。

      对于开发团队来说，这个工具不仅仅是发现漏洞，更是修复漏洞的利器。系统会提供一个已验证的漏洞列表，这些漏洞都是经过系统严格检测并确认存在的。开发人员可以根据这个列表，实时修复代码中的问题，确保应用程序的安全性。

      安全培训服务

      安全培训服务面向开发人员、测试人员和管理人员等角色，帮助他们了解应用安全的基本原则、最佳实践和常见威胁，提高整体安全意识和技能水平。

      渗透测试服务

      渗透测试服务通过模拟真实攻击者的攻击行为，发现应用程序中存在的安全漏洞和弱点，帮助组织识别和修复潜在的安全风险，加强应用程序抵御恶意攻击的能力。

      攻防演练及紫队服务

      攻防演练及紫队服务通过模拟实战攻击和防守的方式，发现组织存在的管理、技术方面的安全问题，提高组织整体安全建设水平。

      安全开发成熟度评估咨询

      安全开发成熟度评估咨询服务帮助组织客观评估安全开发成熟度水平，通过量化数据了解安全开发现状以及对应的成熟度水平，为补齐安全开发短板和成熟度提升做好准备。

      安全开发成熟度提升咨询

      安全开发成熟度提升咨询服务帮助组织提升安全开发成熟度水平，确保开发过程落实安全控制措施，降低安全风险，提高软件质量。

      APP安全认证咨询

      比瓴科技根据GB/T 35273《信息安全技术个人信息安全规范》帮助组织提升自身能力，通过中国网络安全审查认证和市场监管大数据中心（CCRC）的移动互联网应用程序（App）安全认证。

      DevSecOps认证咨询

      比瓴科技根据YDT 3763.6-2021《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》（DevSecOps）帮助组织提升自身能力，通过中国信息通信研究院的DevSecOps能力成熟度评估。

      比瓴科技专注于软件供应链安全领域，以AI和数据为核心提供覆盖全场景的软件供应链安全产品和安全咨询服务。打通应用安全数据孤岛，实现安全运营过程自动化，增强应用软件资产风险可视性，为软件安全保驾护航。

      “详细内容见官网：比瓴科技”。