首 批 認(rèn) 證

天融信供應(yīng)鏈安全檢查系統(tǒng)

首批通過

公安部第三研究所網(wǎng)絡(luò)安全等級(jí)保護(hù)中心

《軟件成分分析系統(tǒng)技術(shù)規(guī)范》檢測(cè)

獲供應(yīng)鏈安全檢測(cè)證書工具類--增強(qiáng)級(jí)認(rèn)證

為確保市場(chǎng)上的軟件成分分析類工具在功能和安全性上的一致性和有效性，公安部第三研究所網(wǎng)絡(luò)安全等級(jí)保護(hù)中心牽頭編制了《軟件成分分析系統(tǒng)技術(shù)規(guī)范》，從安全功能要求、自身安全要求、環(huán)境適應(yīng)性要求、安全保障要求四大維度出發(fā)，圍繞軟件物料清單管理、軟件成分風(fēng)險(xiǎn)分析、數(shù)據(jù)安全、通信安全等核心能力指標(biāo)展開，并給出相應(yīng)評(píng)價(jià)方法，適用于對(duì)軟件成分分析系統(tǒng)的檢測(cè)評(píng)估。

天融信供應(yīng)鏈安全檢查系統(tǒng)在軟件成分識(shí)別、漏洞風(fēng)險(xiǎn)分析、投毒風(fēng)險(xiǎn)分析、開源許可合規(guī)風(fēng)險(xiǎn)分析、供應(yīng)鏈連續(xù)性分析、集成配置、自身安全、安全保障等核心能力方面表現(xiàn)良好，首批通過檢測(cè)！

相較于基本級(jí)，增強(qiáng)級(jí)在風(fēng)險(xiǎn)分析、結(jié)果輸出等方面，對(duì)系統(tǒng)功能提出了更加嚴(yán)格的要求。本次測(cè)試通過充分體現(xiàn)了天融信供應(yīng)鏈安全檢查系統(tǒng)在功能應(yīng)用方面的專業(yè)性。

天融信供應(yīng)鏈安全檢查系統(tǒng)TopSCA

天融信供應(yīng)鏈安全檢查系統(tǒng)以二進(jìn)制文件分析技術(shù)和多種SCA檢測(cè)算法為核心，集組件成分分析、開源組件漏洞風(fēng)險(xiǎn)檢查、開源許可證風(fēng)險(xiǎn)排查、敏感信息泄露檢測(cè)等功能于一體，從組件信息識(shí)別、依賴關(guān)系梳理到漏洞檢測(cè)、許可風(fēng)險(xiǎn)分析、敏感信息檢測(cè)逐漸深入，助力開源組件風(fēng)險(xiǎn)治理，保障關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和信息系統(tǒng)軟件供應(yīng)鏈安全。

漏洞檢測(cè)準(zhǔn)確

系統(tǒng)采用數(shù)據(jù)流、控制流、污點(diǎn)分析等多種分析技術(shù)，從常見攻擊面出發(fā)，提煉漏洞的二進(jìn)制特征，漏洞匹配更準(zhǔn)確，漏洞檢測(cè)準(zhǔn)確率高達(dá)95%。

知識(shí)庫豐富

系統(tǒng)內(nèi)置開源組件指紋、版本、漏洞等各類知識(shí)庫，符合NVD、CNVD、CNNVD等漏洞平臺(tái)標(biāo)準(zhǔn)，安全專家團(tuán)隊(duì)持續(xù)維護(hù)追蹤漏洞，維護(hù)知識(shí)庫的實(shí)時(shí)性、有效性和全面性。

文件格式多樣

支持多種制品格式解析，涵蓋移動(dòng)端、嵌入式、后臺(tái)開發(fā)、云原生等多種開發(fā)場(chǎng)景的二進(jìn)制格式解析，滿足不同開發(fā)場(chǎng)景的供應(yīng)鏈安全檢查要求。

當(dāng)下，全球產(chǎn)業(yè)體系深度融合，供應(yīng)鏈任一環(huán)節(jié)遭受攻擊均可能引發(fā)連鎖反應(yīng)，供應(yīng)鏈安全已然成為抵御網(wǎng)絡(luò)攻擊的關(guān)鍵所在。隨著開源軟件技術(shù)的廣泛應(yīng)用，大量軟件產(chǎn)品使用開源軟件或組件，以保障敏捷開發(fā)過程中的效率和便利性。但開源軟件使用不規(guī)范、軟件交付渠道不可控等問題，會(huì)導(dǎo)致潛在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，為此軟件成分分析類工具成為了檢測(cè)發(fā)現(xiàn)軟件產(chǎn)品供應(yīng)鏈風(fēng)險(xiǎn)的必要手段之一。

天融信將持續(xù)投入研究供應(yīng)鏈安全檢查分析和安全管理等相關(guān)技術(shù)，深入了解行業(yè)供應(yīng)鏈安全檢查場(chǎng)景，不斷提高供應(yīng)鏈安全檢查與治理能力，依托專業(yè)漏洞挖掘團(tuán)隊(duì)持續(xù)更新SCA檢查知識(shí)庫，為客戶建立數(shù)字供應(yīng)鏈全生命周期的安全管理提供技術(shù)支撐。