开源网安灰盒安全测试平台和代码审核平台通过可信云评测

2021-07-27 09:59

2021可信云大会现场

2021年7月27日,2021可信云大会在北京国际会议中心举办。本次可信云大会由中国信息通信研究院和中国通信标准化协会共同主办,由中国通信标准化协会云计算标准和开源推进委员会、混合云产业推进联盟、云原生产业联盟、企业数字化发展共建共享平台、数字农业推进方阵、云网产业推进方阵、云边协同产业方阵、金融行业开源技术应用社区、网络风险与保险创新实验室等单位大力支持。

何宝宏所长为通过评测单位颁发证书

开源网安的灰盒安全测试平台(Vulhunter)代码审核平台(CodeSec)两款产品分别通过了《交互式应用程序安全测试工具能力要求》和《静态应用程序安全测试工具要求》两项可信云评测。


《静态应用程序安全测试工具》和《交互式应用程序测试工具》评测证书


VulHunter,作为公司在 IAST 领域的核心拳头产品,是国内首款基于“交互式应用安全测试(IAST)”技术的全新一代“灰盒”代码审计、安全测试和第三方软件检测产品,由开源网安自主研发,公司拥有完全的自主知识产权。IAST 是近年来兴起的一项新技术,被 Gartner 公司列为信息安全领域的 TOP10 技术之一。

其检测原理是通过在应用程序的字节码中动态插桩检测“探针”,来获取应用程序运行时的各种上下文信息。在应用程序运行时,实时分析程序的安全弱点。与基于 SAST 和 DAST 技术的产品相比,VulHunter 的最大不同点是,通过字节码插桩应用程序获得更多准确的运行时信息。


VulHunter 与 SAST、DAST 所能获取的信息对比

同时,VulHunter 融合 SAST 和 DAST 技术的优点,无需源码,支持对字节码的检测,极大地提高了安全测试的效率和准确率,准确率几乎可以达到 100%,高于业界其他同类产品。该产品非常适用于敏捷开发和 DevOps,可以在软件的开发和测试阶段无缝集成现有开发流程,让开发人员和测试人员在执行功能测试的同时,无感知地完成安全测试,解决了现有应用安全测试技术面临的挑战。

VulHunter 自2017年面世以来,在短短4年的时间里,已经广泛应用于金融、通信、能源等领域,收获了一批世界500强企业用户,广受用户好评和认可。

开源网安代码审核平台(CodeSec)在支持的编程语言、支持的开发框架类型、支持的扫码方式、支持的安全风险漏洞类型、支持的代码获取方式、检测分析配置能力要求、使用模   式、   缺陷快速定位、缺陷数据多维度展示、结果对比分析、缺陷修复指导、告警能力要求、报表要求、分析平台集成、漏洞规则自定义、二次开发、自身安全、访问控制、部署模式、漏报率、误报率等方面均满足可信云静态应用程序安全测试工具能力评估要求


源代码静态安全扫描工具已进入市场多年,早已被人们所熟知,安全人员及开发人员了解 它的好处,但带来的困扰也非常多,导致大部分工具不能发挥其应有的效用。

这些困扰包括:

  • 过高的误报率使得漏洞排查工作量很大;

  • 开发人员不能理解过于专业化的漏洞描述;

  • 扫描工具未给出直接的、代码级的解决方案,开发人员需要自己花时间寻找;

  • 企业并行开发项目数多,并发扫描要求高;

  • 编码规范无法自动化检测;

这些痛点的存在让白盒工具的可用性大打折扣,开源网安代码审核平台(CodeSec)致力于解决这些技术难 点,大幅提升了产品在开发流程中的可落地性。CodeSec 主要应用于代码安全审核和质量分析,支持对主流编码规范、后门代码检测、分布式引擎部署。

CodeSec 研发团队经过多年对 AST 技术的深入分析及需求调研,注重结果的精确度及工具的易用性,更加适用于 DevSecOps 场景,提升代码安全质量。