奇安信開源衛(wèi)士全新發(fā)布 破解行業(yè)用戶三大開源安全難題

開源軟件的應(yīng)用非常廣泛，在金融、運(yùn)營商、電力、航空、汽車等行業(yè)用戶的信息系統(tǒng)底層架構(gòu)中，均有開源軟件的影子。開源軟件之間的依賴和調(diào)用關(guān)系非常復(fù)雜，其漏洞的放大作用非常顯著，黑客利用開源軟件已知漏洞實(shí)施攻擊的事例屢見不鮮，近年來Struts2、OpenSSL等開源軟件頻繁爆出高危漏洞，給行業(yè)客戶帶來了廣泛的影響。

針對(duì)開源軟件應(yīng)用的現(xiàn)狀，奇安信全新發(fā)布了開源衛(wèi)士產(chǎn)品。該產(chǎn)品是一款集開源軟件識(shí)別和安全管控于一體的軟件成分分析系統(tǒng)，通過云端分析中心在全球范圍內(nèi)獲取開源軟件信息和漏洞情報(bào)，利用自主研發(fā)的開源軟件分析引擎為用戶提供開源軟件識(shí)別、開源軟件漏洞分析及開源軟件漏洞情報(bào)獲取等功能，幫助行業(yè)用戶掌握信息系統(tǒng)中的開源組件資產(chǎn)和漏洞情報(bào)，降低由開源軟件帶來的安全風(fēng)險(xiǎn)，保障交付更安全的軟件。

隨著軟件開發(fā)過程中開源軟件的使用越來越多，開源軟件事實(shí)上已經(jīng)成為了軟件開發(fā)的核心基礎(chǔ)設(shè)施，開源軟件的安全問題應(yīng)該上升到基礎(chǔ)設(shè)施安全的高度來對(duì)待。而當(dāng)前的現(xiàn)實(shí)情況是，用戶在軟件開發(fā)過程中面臨著三大開源軟件安全難題：不清楚在開發(fā)過程中使用了哪些開源軟件，不清楚使用的開源軟件中存在哪些安全風(fēng)險(xiǎn)，當(dāng)有開源軟件出現(xiàn)新的漏洞時(shí)也不清楚是否會(huì)影響到正在運(yùn)行的信息系統(tǒng)。

這些困難給信息系統(tǒng)的安全風(fēng)險(xiǎn)管控帶來了極大的挑戰(zhàn)，開源衛(wèi)士幫助行業(yè)用戶破解三大開源安全難題：

讓用戶“看見”信息系統(tǒng)中包含了哪些開源軟件

軟件開發(fā)過程中會(huì)引入大量開源軟件，但用戶的安全管理者或者開發(fā)管理者常常不清楚自身的信息系統(tǒng)中到底引入了多少開源軟件，引入了哪些開源軟件。奇安信開源衛(wèi)士可以識(shí)別軟件系統(tǒng)中包含了哪些開源軟件以及開源軟件之間的關(guān)聯(lián)關(guān)系，形成開源軟件可視化清單。

讓用戶“知道”使用的開源軟件中存在哪些安全風(fēng)險(xiǎn)

軟件中使用的開源軟件可能會(huì)存在已知安全漏洞，且這些開源軟件背后調(diào)用或依賴的其他開源軟件也可能會(huì)存在安全漏洞，這種深層關(guān)聯(lián)下的開源軟件漏洞很難通過漏洞掃描工具發(fā)現(xiàn)。奇安信開源衛(wèi)士通過軟件成分分析技術(shù)可以發(fā)現(xiàn)這些隱藏在開源軟件背后的深層次安全漏洞，讓用戶清楚“知道”信息系統(tǒng)中存在多少已知安全漏洞。

讓用戶“掌握”最新開源軟件漏洞情報(bào)

用戶從海量網(wǎng)絡(luò)安全情報(bào)信息中，獲取影響企業(yè)自身的開源軟件漏洞信息，成本高、難度大。奇安信開源衛(wèi)士在云端監(jiān)控眾多開源軟件漏洞情報(bào)來源，通過清洗、匹配、關(guān)聯(lián)等一系列自動(dòng)化數(shù)據(jù)分析處理后，向用戶及時(shí)推送開源軟件漏洞信息，讓用戶及時(shí)獲取到影響其自身安全的最新開源軟件漏洞情報(bào)。

奇安信開源衛(wèi)士是國內(nèi)首個(gè)成熟的商用軟件成分分析系統(tǒng)，在多年技術(shù)積累基礎(chǔ)上，通過開源組件成分分析、依賴分析、特征分析、引用識(shí)別等多種技術(shù)組合能夠精確識(shí)別軟件中的開源組件信息，技術(shù)完全自主創(chuàng)新。同時(shí)，奇安信開源衛(wèi)士團(tuán)隊(duì)還運(yùn)營著國內(nèi)規(guī)模最大的“開源項(xiàng)目檢測(cè)計(jì)劃”，收集了3000多萬個(gè)開源項(xiàng)目的版本信息，積累了大量的開源軟件基礎(chǔ)數(shù)據(jù)。奇安信開源衛(wèi)士的漏洞信息兼容了國家信息安全漏洞庫(CNNVD)，能夠滿足行業(yè)用戶相應(yīng)的監(jiān)管要求。

此外，用戶使用的開源軟件有時(shí)不能通過升級(jí)軟件版本進(jìn)行漏洞修復(fù)。奇安信開源衛(wèi)士依托奇安信代碼安全實(shí)驗(yàn)室專業(yè)的漏洞研究能力，可以為用戶提供開源軟件漏洞危害評(píng)級(jí)、漏洞補(bǔ)丁分析、漏洞補(bǔ)丁方案等高端漏洞修復(fù)咨詢服務(wù)。