一、公司介绍
开源网安是国内软件安全行业创领者,2013年成立于深圳,被认定为国家高新技术企业,并在北京、上海、武汉、成都、合肥、珠海、长沙多地设有分子公司。
开源网安专注于软件安全技术领域,以捍卫中国软件安全为使命,是国内唯一在软件安全领域拥有全链条产品、技术、服务能力的安全厂商,多个产品打破国外垄断,填补国内空白。经十年发展,开源网安业务范围覆盖金融、能源、通信、监管、科技等行业数百家头部单位;参与我国多项软件安全相关国家信息标准制定;先后与国家测评中心、国家认证中心、工信安全、航天网信等国家机构及央国企建立了稳定、持续、良好的战略合作关系。
二、产品简介
开源网安代码审核平台(CodeSec)是全新一代静态应用安全测试(SAST)解决方案,聚焦于软件代码安全审核和质量分析,通过提供漏洞详情和修复方案,帮助开发、测试和安全团队在SDL的早期发现并修复漏洞,降低软件安全问题的修复成本,提升软件安全质量,提高软件开发团队的安全开发水平。
产品效果:
1、100%源代码安全检测覆盖率
CodeSec可以提供比其他应用安全测试工具高得多的代码覆盖率,可实现100%的代码检测覆盖率。可访问应用程序的源代码和应用程序的输入,包括用户界面中没有暴露的隐藏输入等。
2、快速检测和定位代码安全缺陷
CodeSec可以在不运行程序的情况下测试代码,可以促进漏洞的高效补救,可精确定位代码中的潜在安全缺陷,并提供详细的漏洞描述和修复建议,帮助开发快速理解和修复源代码中的安全问题。
3、全面检测代码安全性和编码规范
CodeSec对软件源代码本身的安全性和编码规范问题均可检测,除了业界通用标准规则外,企业可定制规则进行检测。
4、降低软件安全问题的修复成本
CodeSec作为SAST工具是解决软件安全问题的有效途径,也是安全左移方法的重要组成部分。通过帮助团队在开发早期发现代码的潜在问题,团队可以花费更少的时间来解决安全问题,降低修复成本。
产品优势:
1、强大检测能力
● 支持20+种语言的检测
● 超过2000+个检测规则
● 支持源码和字节码检测
● 不依赖编译检测
2、多种检测方式
● 支持全量和增量检测
● 支持多包批量检测
● 支持定期定时检测
● 支持命令行检测
3、多种部署方式
● 软硬一体机部署
● SaaS平台部署
● 私有化部署
● 分布式多引擎部署
4、强大的检测性能
● 平均每小时检测超50万行
● 支持单服务器多任务并发检测
5、第三方组件检测能力
● 内置300万+开源组件
● 内嵌CVE和CNNVD漏洞库
● 开源组件风险评估
6、第三方工具集成能力
● 支持IDE插件集成扫描
● 支持API接口发起扫描
● 支持命令行发起扫描
● 支持Jenkins、Gitlab-CI集
三、产品架构图
四、技术架构图
五、应用案例
案例一:光大银行
● 客户背景:
中国光大银行是成立于1992年8月,是经国务院批复并经中国人民银行批准设立的全国性股份制商业银行。“全球1000家大银行排行榜”中位列第49位,作为商业银行数字化转型的先驱者,光大银行把握好安全基线,切实提升关键系统和软件的安全能力。
● 解决方案:
开源网安提供了 CodeSec 代码审核平台
● 客户价值:
光大银行搭建了基于信通院标准的 DevOps 持续交付流水线平台,能有效针对企业软件研发提质增效, CodeSec 代码审核平台将安全性转移到 DevOps 工作流中的一个关键组成部分,够通过自动检测问题更轻松地避免安全缺陷,并在开发环境中识别最好的违规行为实例。
案例二:苏州农商银行
● 客户背景:
苏州农商银行是成立于2004年8月,是由自然人和法人共同发起设立的股份制金融机构,是经中国银行业监督管理委员会批准由原吴江市农村信用合作社联合社改制成立,是自银监会成立后新监管框架下挂牌开业的农村商业银行。2016年11月29日,在上交所挂牌上市成为全国第四家A股上市农商银行。2022年1月19日,苏州农商银行就关于SAST静态应用安全测试平台项目的采购进行竞争性谈判。客户想采购SAST工具,对全行源代码进行安全检测,降低软件安全水平,把科技风险安全管控进行前置。
● 解决方案:
开源网安在自主可信产品 CodeSec 代码审核平台基础上,为客户规划了全行进行源代码安全管控解决方案。重点是协助建立安全编码规范,在IDE中进行检测落地管控,满足要求后进行提交。在GIT上进行构建后,再进行集中扫描,设定安全阈值,达到要求后,进行后续流程。
● 客户价值:
通过引入代码安全审核平台,苏州农商银行的项目成果包括:
制订了《 Java安全编码规范》,培训后落实,提升了全员的安全编码意识和能力;
IDE中安装CodeSec检测插件,设定门限,编码后自行检测,达到要求后才能提交,保证了代码质量;
CodeSec对接GIT拉取代码,设定检测时点,检测结果直接发送邮件给对应的开发人员;
集中进行检测,至少达到出口标准后,才能进行后续工作,提升了软件安全。
私信
