行业研究公司研究宏观策略财报招股书会议纪要稀土低空经济 DeepSeek AIGC 智能驾驶大模型

T- Sec软件成分分析(SCA)软件供应链安全解决方案

2024-09-13腾讯F***

AI智能总结

01 软件供应链安全建设的挑战

软件供应链安全建设面临挑战：如何统计软件资产、确定组件风险、发现潜在攻击链、确认开源许可证风险及漏洞修复难度。
软件供应链安全能力建设的趋势、必要性和监管要求：
- 定义：软件设计与开发各阶段的安全，包括编码过程、工具、设备及上游代码、模块和服务的安全，以及软件交付渠道和使用安全。
- 风险：泄密、劫持、更新时感染病毒。
- 行业监管与政策：
  - 国家级攻防演练2022-2023防守单位失陷案例60%+与软件供应链安全相关。
  - 国家级攻防演练Top5攻击技战法及持续供应链安全专项。
  - 政策：《关键信息基础设施安全保护条例》《关于供应链安全风险提示》《关于规范金融业开源技术应用与发展的意见》等。
  - 标准：《软件成分分析系统安全技术要求与测试评价方法》。

02 T-Sec软件成分分析解决方案

腾讯科恩软件供应链安全解决方案：T-Sec软件成分分析，以源码/二进制软件成分分析为核心，检测开源组件风险，建立软件物料清单（SBOM），解决开源安全及合规问题。
T-Sec软件成分分析能力：
- AI算法、知识库和安全运营优势：
  - 数据全面丰富：漏洞数据（30W+）、许可证数据（2K+）、组件数据（690W+）。
  - 检测精准：漏洞可达性评估、代码级特征匹配。
  - 安全运营体系高适配度与稳定性：研发体系、腾讯发布体系、灵活布署方式。
- 分析能力优势：
  - 动静态依赖分析、文件级分析、片段级分析、代码片段分析能力。
  - 漏洞存在性、漏洞触发性、漏洞可达性。
  - 二进制特征检测、二进制依赖特征检测。
- 管理能力优势：
  - SBOM管控、多种策略系统与数据分析能力。
  - 组件治理视角、组件运营视角、研发团队视角。
客户典型应用场景：
- 开发接入场景：开发阶段质量控制、发布阶段制品晋级、多阶段解决方案。
- 软件供应链准入场景：包解析与归档、自动化检测分析、业务包拆分。
- 开源组件治理场景。
关键技术点：
- 二进制SCA优势：解包能力强、兼容性高。
- 系统采集能力：完整采集运行时数据，综合SCA分析。
- 灵活审核策略、管控策略、SBOM归属权设计。

软件供应链安全解决方案主讲人：腾讯安全科恩实验室开发安全产品经理陈次恩 01软件供应链安全建设的挑战软件供应链安全建设存在的挑战面对日益严峻的软件供应链安全风险，企业亟需分析精准、性能稳定以及开源软件治理一站式的解决方案。如何统计软件资产？如何确定组件风险？漏洞是否有可利用脚本？如何发现潜在攻击链？如何确认开源许可证风险？漏洞修复难度大，如何收敛？软件供应链安全能力建设的趋势、必要性和监管要求 •软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道和使用安全的总和。——《软件供应链安全发展洞察报告》，云计算开源产业联盟泄密劫持在更新软件时感染病毒有没有从根本上解决安全潜在风险？行业监管与政策软件供应链安全趋势行业监管与政策 •国家级攻防演练2022-2023防守单位失陷案例60%+与软件供应链安全相关；•国家级攻防演练Top5攻击技战法；•两年持续供应链安全专项持续加大力度，是国家关注的重点； •建立体系规范，以标准、合规、安全的组件提供给各个业务方；•安全左移，更早的发现和修复安全漏洞；•准入管理，从源头把控安全，从源头摸清楚供需、安全和管理现状；《关键信息基础设施安全保护条例》《关于供应链安全风险提示》《关于规范金融业开源技术应用与发展的意见》《银行保险机构信息科技外包风险监督办法》《金融业开源软件应用管理指南》软件供应链安全建设：《软件成分分析系统安全技术要求与测试评价方法》 02T-Sec软件成分分析解决方案腾讯科恩软件供应链安全解决方案：T-Sec软件成分分析科恩基于多年打磨的开发安全能力，推出以源码/二进制软件成分分析为核心的检测平台，帮助用户检测开源组件风险，建立软件物料清单（SBOM），解决开源安全以及合规问题。 T-Sec软件成分分析：围绕AI算法、知识库和安全运营的优势能力业内领先的安全能力结合公司级数据能力、工程化能力与运营体系打通经验打造高可用解决方案精准组件数据数据全面丰富：业内领先：二进制级、代码级分析能力 •漏洞数据-腾讯安全统一漏洞库数据，漏洞情报30W+•许可证数据–覆盖常见2K+许可证，复杂表达式满足真实业务需求•组件数据–组件情报690W+，人工运营组件核心信息，用于混元、BinaryAI等模型与数据训练 •科恩BinaryAI安全算法能力持续训练迭代并被学术界和工业界广泛引用•能力通用性强，覆盖各类主流开发语言，以及超过10+的小众语言（Shell、SQL），支持鸿蒙ArkTS等新语言和研发框架、支持信创开源风险评估测试检测精准： •漏洞可达性评估–深度分析漏洞可触发性准确判别漏洞风险，收敛高危漏洞降低后续分析成本•代码级特征匹配–基于BinaryAI核心能力，问题代码片段快速定位提效后续修复安全运营体系高适配度与稳定性 •研发体系大规模接入扫描：Coding、蓝鲸（客户研发体系）、智研（腾讯自研体系）等•腾讯发布体系与安全运营平台接入：发布安全审核、法务合规审核、安全工单系统等•灵活高效场景适配：灵活布署方式、参数配置和接口调用，高效支撑各个场景下的适配要求 T-Sec软件成分分析：分析能力优势动静态依赖分析：准确处理版本依赖问题组件Scope：不同包管理器具备不同scope（test，dev等）文件级分析：快速分析整个文件相似度，加速SCA分析片段级分析：片段级分析识别，发现抄袭情况代码片段分析能力漏洞存在性：通过patch数据判断漏洞特征是否存在漏洞触发性：分析漏洞影响函数调用链，判断漏洞调用触发性漏洞可达性二进制特征检测：对c/c++函数级特征，字节码做SCA分析二进制依赖特征检测：对java、golang、c#等制品做扫描精准制品扫描 T-Sec软件成分分析：管理能力优势围绕SBOM管控多种策略系统与数据分析能力 11管理视角 •SBOM数据分析：灵活视角数据分析与指标建立•API能力：灵活的API能力对接各类系统组件治理视角2 •SBOM管理能力：管理统计、回扫匹配•服务绑定能力：以服务视角审查代码中的SBOM分布情况 3组件运营视角3 •审核策略：版本级灵活审核策略支持•管控策略：黑白组件管控策略支持研发团队视角 •符合研发情况的SBOM归属权设计：团队、项目、项目版本•多种SBOM分析工具接入支持：腾讯SCA工具、开源工具、商业化工具客户典型应用场景：开发接入场景 •开发阶段质量控制：专注于高精确度的SCA扫描，降低开发修复负担，开箱即用无需调整参数 •发布阶段制品晋级：详尽的分析策略，严格检出组件与敏感信息 •多阶段解决方案：完整覆盖开发安全供应链安全扫描场景客户典型应用场景：软件供应链准入场景 •基于实战经验的分析平台：包归档、元信息提取•充分发挥二进制SCA优势：解包能力强、二进制分析对象兼容性高•系统采集能力：完整采集运行时数据，综合SCA分析包解析与归档自动化检测分析 •业务包拆分客户典型应用场景：开源组件治理场景关键技术点

点击免费查看完整报告