喜讯 | 开源网安三款自研产品均通过CWE国际兼容性认证

Posted 2022-02-24 软件供应链

近期，开源网安的3款自研产品开源网安灰盒安全测试平台、开源组件安全及合规管理平台、开源网安代码审核平台均通过CWE国际兼容性认证。这表明开源网安的自研产品已登上国际舞台。

CWE国际兼容性认证

CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目，是全世界最具知名度和权威性的软件安全漏洞模式库。通过该认证表明产品能够支持国际上主要漏洞(缺陷)模式的检测，因此该认证作为产品的重要等级标志被用户和安全管理人员广泛认可。例如：Synopsys、Veracode、Checkmarx等众多国际一线厂商及机构相关产品均通过了CWE国际兼容性认证。

开源网安代码审核平台（CodeSec）

开源网安代码审核平台（CodeSec）是全新一代静态应用安全测试（SAST）解决方案，主要用于软件代码安全审核和质量分析，提供漏洞详情和修复方案，能够帮助开发和安全团队在开发阶段早期发现并修复漏洞，提升软件代码安全质量，实现“安全左移”，全面助力企业用户解决上述痛点问题；

开源网安灰盒安全测试平台（VulHunter）

开源网安灰盒安全测试平台（VulHunter）作为公司在 IAST 领域的核心拳头产品，是国内首款基于“交互式应用安全测试（IAST）”技术的全新一代“灰盒”代码审计、安全测试和第三方软件检测产品，由开源网安自主研发，公司拥有完全的自主知识产权。IAST 是近年来兴起的一项新技术，被 Gartner 公司列为信息安全领域的 TOP10 技术之一。

其检测原理是通过在应用程序的字节码中动态插桩检测“探针”，来获取应用程序运行时的各种上下文信息。在应用程序运行时，实时分析程序的安全弱点。与基于 SAST 和 DAST 技术的产品相比，VulHunter 的最大不同点是通过字节码插桩应用程序获得更多准确的运行时信息。同时，VulHunter 融合 SAST 和 DAST 技术的优点，无需源码，支持对字节码的检测，极大地提高了安全测试的效率和准确率，准确率几乎可以达到 100%，高于业界其他同类产品。该产品适用于敏捷开发和 DevOps，可以在软件的开发和测试阶段无缝集成现有开发流程，让开发人员和测试人员在执行功能测试的同时，无感知地完成安全测试，解决了现有应用安全测试技术面临的挑战。

开源组件安全及合规管理平台（SourceCheck）

开源组件安全及合规管理平台（SourceCheck）是开源网安研发的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理、组件使用合规性审计、新漏洞感知预警、开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

SourceCheck可实现自动化、无感知的对企业级软件资产信息收集与管理，使软件资产分布可视化；并提供软件资产跟踪定位和管控、新漏洞的自检和预警，以及自研组件和程序代码的许可合规性进行检测。

作为国内软件安全行业创领者，开源网安此次通过CWE国际兼容性认证是对开源网安在软件安全开发领域领先技术和深厚行业经验的肯定。自2013年成立以来，开源网安专注于软件安全开发领域，始终以自主创新为发展源动力。公司以清晰的市场策略和产品规划，自研软件安全产品、解决方案和服务已成功应用于多家金融、央企、政府、行业监管、国内软件百强等大型企业。

多年来开源网安以捍卫中国软件安全为使命，以保障信创和新基建安全为己任，以提升企业软件产品安全与质量为目标。未来，开源网安将持续加大在开源领域的探索与创新，助力企业提升软件的安全与质量。