申請技術丨安勢清源軟件成分分析系統

申報領域丨汽車軟件

獨特優勢：

安勢清源軟件成分分析系統在知識庫容量、組件識別許可證兼容性風險、許可證/版本篡改風險、本地和開源文件在線對比、代碼片段批量確認（在代碼片段掃描能力上安勢信息填補了國內該市場的技術空白）、集成能力和定制化開發能力、技術支持和售后能力、應急響應速度、需求迭代速度等緯度與國內外主流競品都有明顯優勢，且在本地部署的同時能支持增量更新，更靈活適用于國內本土企業的大規模應用場景，極大提升了企業更新和版本升級的便利性。此外，在同配置下，在客戶實測數據下，安勢清源軟件成分分析系統掃描性能是BlackDuck的3倍。 漏洞可達是以減少軟件成分分析系統誤報為核心的技術能力。安勢信息憑借強大的源代碼漏洞靜態分析技術，實現國內軟件成分分析系統的真正的漏洞可達。相比于傳統的軟件成分分析系統由于只能檢測組件和漏洞的存在性但無法對組件漏洞是否被自研代碼出發進行分析，誤報率往往高達80%，同時浪費研發資源，傳統軟件成分分析系統的高誤報直接拖慢開發人員研發速度和軟件交付進度。安勢清源軟件成分分析系統是基于代碼和構建文件的分析，可以識別出被檢測項目所使用的第三方組件，并關聯這些組件包含的漏洞。基于強大的漏洞數據庫，在準確定位漏洞函數的同時可以描繪出組件間和組件內的漏洞傳遞，并通過函數調用分析查看函數是否易受到攻擊，從而大幅降低誤報率。明確定位漏洞及漏洞的傳播路徑，極大提升研發效率，確保應用及項目上線進度可控。

應用場景：

1、開源組件安全漏洞：開源組件漏洞對安全開發構成嚴重威脅。需要及時發現和識別開源組件漏洞安全風險，降低風險，提升軟件產品質量。 2、開源許可證合規風險：如企業使用了具有傳染性的許可證而未遵守相關許可證協議，將為企業帶來嚴重的法律風險。 3、容器鏡像安全：容器化技術允許將應用程序以容器的形式交付、部署并對外提供服務，為軟件開發帶來卓越的敏捷性、可遷移性、成本優化等眾多優勢。 4、軟件出口合規：涉及海外業務的企業加密軟件出口受到EAR和其他國家或地區進口合規性要求的約束。任何錯誤解讀條列將嚴重影響企業全球化業務布局和承擔相應的法律責任。

未來前景：

1、國家戰略 軟件供應鏈安全對于提升我國軟件產業的競爭力和創新力、保障我國信息化建設、促進經濟社會發展和國家治理現代化具有重大意義。 國內軟件供應鏈安全雖然相較于國外尤其是歐美市場起步晚，但市場增長勢頭強勁，隨著國家對軟件供應鏈安全的關注度不斷提升，相關標準、規范、法律、政策陸續出臺與落地：2018年：國家市場監督管理總局和中國國家標準化管理委員會正式發布了國家標準GB/T 36637-2018 《信息安全技術 ICT供應鏈安全風險管理指南》；2021年《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》；2021年：工信部、網信辦、公安部聯合印發《網絡產品安全漏洞管理規定》；2021年：人民銀行辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、銀保監會辦公廳、證監會辦公廳五部聯合發布《關于規范金融業開源技術應用與發展的意見》；2021年：工信部《“十四五”軟件和信息技術服務業發展規劃》。 2、市場增長表現：工信部數據顯示2023上半年，我國軟件業務收入55170億元，同步增長14.2%；據全球知名咨詢企業QYResearch調研分析，2022年中國軟件供應鏈安全市場整體銷售收入達176.49百萬美元，預測2029年可達到1058.71百萬美元，復合增長率達29.6%。 3、企業層面：國內頭部互聯網企業和安全廠商已意識到軟件供應鏈安全建設的重要性，逐步加大軟件供應鏈安全的建設投入，通過增加源代碼安全審計、漏洞挖掘、大數據分析等創新技術手段，有效保障軟件供應鏈的安全。

金輯獎介紹：

“金輯獎”由蓋世汽車發起，旨在“發現好公司，推廣好技術，成就汽車人”， 并圍繞著“中國汽車新供應鏈百強”這個主題進行展開，本屆金輯獎重點聚焦智能駕駛、智能座艙、智能底盤、汽車軟件、車規級芯片、大數據及人工智能、動力總成及充換電、熱管理、車身及內外飾、新材料十大細分板塊，進行優秀企業及先進技術解決方案的評選，向行業內外展示這些優秀的企業和行業領軍人物，共同推動行業的發展和進步。

返回第一電動網首頁 >