一、单位介绍
深圳海云安网络安全技术有限公司成立于2015年,是一家专注于安全左移的国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”系列知名应用安全产品研发推广,长期为金融、政府及企事业单位提供安全开发、上线测试、安全管理中心等安全服务解决方案。相关产品和方案已获国家网信部门、发改委、人民银行、华润集团等多个国家部委和头部客户的高度认可。
二、方案背景
《网络安全法》及等保等多项国家要求发布实现后,对源代码检测的重视程度不断提高。安全漏洞共享平台2021收录统计显示,约75%安全漏洞多数来源于应用自身,只有从源代码层级着手解决软件的安全漏洞问题,才能从根本上确保网络信息的安全。而近几年,国内开发模式逐渐由瀑布开发转向敏捷开发,对静态代码检测工具的效率和准确性提出更高要求。
同时,国企、金融等行业推动信创国产化转型为国产软件提供了更好的发展土壤。
海云安自主创新研发,基于鲲鹏路线推出兼顾高准确性和高检测效率的新一代国产信创白盒SCAP,可以为敏捷开发环境下实现开发安全治理的可靠解决方案。
三、方案介绍
海云安源代码检测分析管理平台(SCAP)是一套以B/S架构的方式提供用户进行交互与管理的源代码检测工具。SCAP使用具有高性能和高并发处理能力的Nginx作为Web服务器,使用Nacos动态管理各种微服务,确保系统的高可用性和弹性,使用Redis作为数据缓存存储显著提高数据的读取和写入速度。
SCAP支持本地化部署和私有云部署,支持软件交付和基于鲲鹏一体机软硬件一体化交付。鲲鹏一体机使用鲲鹏多核多并发的高性能服务器提高强大算力和高效的处理性能支持,源代码平均检测效率提升20.58%,相对于常规Linux系统部署具备明显优势。
SCAP基于鲲鹏BootsKit和DevKit进行性能调优,显著提升系统性能:
(1)使用BootsKit数据库使能套件进行并行查询、资源锁优化和线程池处理等,极大提升数据库处理速度;
(2)使用DevKit性能分析工具对应用进行性能调优和系统诊断,从而帮助技术人员更加快速找到和解决热点问题和定位性能瓶颈,优化了数据的并发特性;
(3)使用鲲鹏DevKit调优助手快速分析出系统资源消耗链条,引导技术人员分析和解决性能瓶颈,大大减少了系统中断频率和服务响应时间。
通过上述性能调优步骤,源代码检测整体耗时缩短12%。
四、方案价值
(一)应用价值
源代码检测分析管理平台是一种用于检测和分析软件源代码质量和安全性的工具。它可以在软件开发过程中帮助开发人员发现代码中的潜在问题、漏洞和不规范之处,并提供相应的建议和修复措施。
源代码检测分析管理平台的业务应用场景主要有:
通过对接代码仓库及Jenkins等系统实现自动化的源代码安全检测,将检测步骤内嵌至开发流程中,实现安全左移。
能够对检测任务及其相关处理流程进行统计记录管理,将开发安全转换为业务数字化、流程规范化的可持续运营管理方案,建设运营数字化综合管理平台。
支持适配企业内部信创环境,产品本身完全自主研发。
(二)优势和亮点
1、当前国内开发安全市场仍处于发展阶段,而国外已经形成了较为成熟的开发安全体系,然而由于国产化浪潮,我们需要一套自主的开发安全建设方案,降低对海外的依存度。海云安源代码检测分析管理平台结合鲲鹏硬件打造软硬件一体的国产化开发安全建设工具,助力我国开发安全市场发展。
2.源代码检测分析管理平台(SCAP)是海云安通过自身技术优化结合鲲鹏平台实现软硬件一体化,打造出更适用于敏捷开发环境、更符合信创国产化要求的高敏捷信创白盒。SCAP具有高准确率和高检测效率的特点,适用于快节奏的敏捷软件开发流程。同时,SCAP是自主开发的软硬件一体化国产化产品,能够兼容企业信创环境,并且能够检测代码的自研率,即能够分析和评估开发人员在项目中自研代码的比例。
五、落地案例
1.项目痛点
(1)代码安全检测流程滞后,没有形成体系化的开发安全管理方案,在上线评估环节安全团队比较被动;
(2)开发模式由DevOps向DevSecOps转型,代码更新和版本上线较为频繁,代码安全检测需具备较高的检测速率和准确率,以确保不影响当前流水线效率。
(3)企业的安全措施尚未形成完整的体系,代码安全缺乏规范化的管理制度,一些安全措施缺乏量化的指标。
(4)企业内部积极响应信创政策,采购产品需适配企业内部的信创环境。
2.技术架构
SCAP接入用户各个开发流程,支撑在本地开发环境、测试环境和预生产环境中执行自动化代码安全扫描检测。安全团队制定统一的规范要求,在上线评审阶段设置安全质量门禁。开发人员对扫描到的缺陷进行缺陷修复,对于误报缺陷可进行标记,由安全团队进行二次审核。代码在上线评审前已经进行了多次检测修复,在评审阶段只要达到门禁要求就可以发布版本,实现安全左移,使安全评审阶段的时长变短,缩短交付周期。
SCAP支持将代码项目与开发团队进行关联,可根据检测记录统计项目及团队缺陷数,修复率等运营数据作为量化指标。
3.方案价值
(1)自动化提升
将高敏捷信创白盒和策略无缝对接集成到DevOps流水线中,实现自动化安全扫描检测,在24个并发的情况下,日均检测量2000+,94%的检测任务用时小于5分钟;在关键节点进行安全卡点,有效减少人工参与协作的工作量,有效促进各团队之间加强协作。
(2)运营化加强
通过漏洞缺陷优先级分类设置安全卡点,通过优化工具误报策略将误报率优化到10%以下,有效加强漏洞缺陷闭环修复管理能力。结合自动化工具运行实践进行安全开发持续赋能,有效提升人员的安全开发意识和能力。
(3)漏洞修复成本降低
实现软件研发阶段便同步介入安全检查,将80%高危以上漏洞缺陷消除在版本发布前,降低漏洞缺陷修复成本。
(4)适配信创环境
完全适配企业内部信创环境,能够稳定正常允许。
私信
