2023年8月18日,蚂蚁数科再度加码云原生PaaS领域,SOFAStack率先完成全栈软件供应链安全产品及解决方案的布局,包括静态代码扫描Pinpoint、软件成分分析SCA、交互式安全测试IAST、运行时防护RASP、安全洞察Appinsight等,帮助客户应用软件实现“发布前检测,运行时免疫”。
软件供应链安全合规已经成为各行业关注的焦点,软件产品在开发、测试、上线的各个阶段都存在引入各类安全风险的可能,例如危险开源组件的使用、自研代码缺陷漏洞引入、容器镜像漏洞引入等,这些风险导致软件系统的整体安全防护难度越来越大。
云原生安全既是一种全新安全理念,也是实现云战略的前提。以云原生的技术构建一体化安全体系部署,将云服务与安全结合才能达到云上业务部署、开发、运维、响应的全生命周期高质量发展。近些年,各大云计算厂商也都纷纷加大安全产品的投入,尤其是在多云架构趋势下,高复杂度、多重场景下,企业对一站式云原生应用安全防护解决方案的需求陡增。
对SOFAStack这类通用型PaaS平台,安全业务至关重要。据知情人士透露,早在今年上半年,该团队已完成产品层面的全面整合,并成立专门团队进一步提升云原生平台在安全方面的竞争优势。
其中静态代码安全扫描产品Pinpoint,于近日首批入选中国信通院“软件供应链安全”产品名录,并通过了公安部计算机信息系统安全产品质量监督检测中心权威测评,这一认证标志着该产品具有国内领先的安全技术和质量保障。
静态代码扫描是一种代码分析技术,指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对软件代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标,从而为软件开发与运行保驾护航。
根据官方介绍,Pinpoint通过自研的分析引擎,能够在均衡分析精度、速度、深度的同时保证分析结果,无需构造测试用例即可自动寻找软件编码错误,可以让程序员迅速理解和修复问题,从而投入更多的时间到创造性的工作中。
目前,该产品已是国内应用实践最广泛的静态代码安全产品之一,在金融、制造、教育、互联网等行业规模落地实践,包括南京银行、浙江农信、中泰证券、珠海格力、广东电网等。