喜讯！国内首款SCA产品通过CWE国际认证 – 作者:悬镜安全实验室

近日，悬镜安全作为DevSecOps敏捷安全的领导者，旗下的源鉴OSS开源威胁管控平台（以下简称“源鉴OSS”）获得了国际权威机构的专业认可，顺利通过CWE国际兼容性认证，它是国内DevSecOps领域首款通过该权威认证的SCA产品。CWE全称Common Weakness Enumeration，由美国国土安全局下的US-CERT（美国计算机应急管理中心）资助，是全世界最具知名度和权威性的软件安全漏洞模式库。世界知名安全软件产品均在此组织进行认证，以表明该工具能够支持CWE所描述的主要缺陷模式的检测和分析。当前，还有如Apple、Symantec、IBM及Checkmarx等国际厂商的产品通过了该项认证。源鉴OSS基于多源SCA开源应用安全缺陷检测技术，结合悬镜独有应用探针精准识别应用开发过程中，软件开发人员有意或违规引用的开源第三方组件风险，并通过应用组成成分分析引擎，多维度提取开源组件特征和计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。通过业界领先的IAST技术赋予的代码级运行洞察力，源鉴OSS从根本上提升了软件成分分析（SCA）的实践标准，使安全团队能够准确并全面的掌握应用中存在的开源风险态势，从而助力开发人员确定补救工作的优先级并相应地集中精力修复高危漏洞。同时，源鉴OSS可以帮助开发人员精确获取漏洞详细的引入位置，这显著减少了漏洞从发现到修复所花费的时间，提高了开发人员的总体生产力。开源软件开放、共享、自由的特性，势必会为软件供应链带来新的安全风险。源鉴OSS可以通过查找上千万行源代码或二进制代码中存在的安全缺陷并进行深入分析和确认，捕获软件代码构成和包含的开源成分，精准识别源代码中存在的第三方组件及潜藏的安全漏洞等，帮助用户从软件供应链根源上实现开源风险的智能消控，有效防止应用带病上线。开源已然成为一种新时代的趋势，正不断促进着软件产业的繁荣发展，但同时也涌现出许多安全挑战。悬镜安全将持续从应用源头做威胁治理，为企业构建新一代敏捷安全体系，帮助客户更好的拥抱变化，赋能数字经济安全高效的快速发展。
来源：freebuf.com 2021-04-25 17:19:19 by: 悬镜安全实验室