近日,由中国信息通信研究院(以下简称“中国信通院”)主办,中国通信标准化协会云计算标准和开源推进委员会承办的3SCON软件供应链安全会议以线上直播形式召开。会上主办方发布了首期《软件供应链厂商和产品名录》,蚂蚁集团多项技术产品入选优秀实践案例。
《软件供应链厂商和产品名录》旨在应对软件供应链安全治理难题,为用户选择合适厂商及产品提供选型指导,此次蚂蚁集团旗下包括子公司共有6项产品同时入选,分别是4款信息安全软件:“源代码静态缺陷分析系统Pinpoint”、“软件成分分析工具SCA”、“应用运行时安全切面防护平台RASP”、以及“交互式应用安全测试切面平台IAST”;及两款数据库管理系统:“TuGraph企业级图数据库管理平台”和“OceanBase数据库软件”
源代码静态缺陷分析系统Pinpoint通过融合多套分析引擎技术,在分析精度,速度,深度等方面均衡得到较好的分析结果,能够自动寻找软件的编码错误,无需人工干预,在发现缺陷的同时还能给出问题的触发过程。可帮助开发人员集中精力完成开发进度的同时提高软件质量,大幅减少生产成本,提高研发效能。
软件成分分析工具SCA是从蚂蚁大规模研发实践出发,采用全自研的软件成分分析引擎,为自身以及金融机构提供软件供应链的基础分析能力,可以针对软件、组件、源代码等多种形式的信息资产实现分析,提供高精度的SBOM,同时配合蚂蚁内部的研发流程,实现开源组件的全生命周期治理。
应用运行时安全切面防护平台RSAP是一款利用切面技术将检测策略注入到被保护应用的服务进程中,能够提供函数级别的实时威胁检测,达到有效防御web应用攻击的目的。主要功能包括:丰富的web漏洞检测能力、自定义设定规则、无侵入注入策略、实时解析Payload、精准拦截攻击、可视化呈现威胁事件等。适用于大量使用开源组件的互联网应用以及第三方集成商开发的行业应用场景。在大规模部署和双十一核心链路场景验证下高稳定运行,呈现上万次拦截、零次误报的实际效果。
交互式应用安全测试切面平台IAST是一种将检测探针植入应用程序内部,在程序运行时进行漏洞检测的技术。由于IAST可以有效的检测任意代码和命令执行、SSRF、任意反序列化、借口未授权、水平越权、XXE、SQL注入等多种漏洞,成为与白盒和黑盒并列的应用安全测试技术之一,也是蚂蚁安全平行切面中DevSecOps落地的重要实践之一。适用于大量使用开源组件的互联网应用以及第三方集成商开发的行业应用场景。
目前,上述4款信息安全软件已经集成至蚂蚁集团自主研发的云原生PaaS平台SOFAStack4.0对外输出。今年11月,SOFAStack4.0升级发布,将安全能力作为架构升级的重点,提供包括软件供应链安全、计算环境安全、应用增强安全等多维度的安全能力,为金融机构及企业客户的IT系统安全保驾护航,目前已经服务超百家机构客户。
TuGraph企业级图数据管理平台是蚂蚁集团自研的一站式图数据库产品,具有万亿图数据处理能力,可用于解决金融风控场景的交易网络分析、团伙识别、路径追踪等问题。在蚂蚁集团内部实践中,TuGraph可以将风险审理分析效率提升90% 。今年8月,国际权威图数据库测试机构LDBC公布了一项行业通用的社交网络基准(SNB)测试最新结果,TuGraph在吞吐率测试上打破官方审计纪录,继2020年之后再次获得世界第一。
OceanBase是一款原生分布式数据库,也是全球唯一在 TPC-C 和 TPC-H 测试上都刷新了世界纪录的自研原生分布式数据库,目前已服务金融、能源、交通等400余家客户实现核心系统升级。
据了解,《软件供应链厂商和产品名录》从厂商和产品两大维度进行名录展示,旨在从供应链供需双方视角出发,一方面帮助软件供应链需求侧企业进行选型参考,另一方面助力供应侧企业明确并规范安全要求,从而实现向业界普及软件供应链安全理念,建立安全可信生态,进而推动我国软件供应链安全产业发展的目标。
