又大又粗又猛免费视频久久_国产理论在线播放_久久男人av资源网站免费软件_99国产精品无码

?軟件開發(fā)既要敏捷又要安全?來看看DevSecOps吧|年度行業(yè)研究

編者按:

闊別波瀾壯闊的2020年,我們即將迎來充滿希望與未知的激蕩新十年??萍寂c資本的雙重推動(dòng),是這個(gè)十年的時(shí)代主旋律,也很可能成為下個(gè)十年的創(chuàng)新主推力。因此,臨近2020年年底,我們推出了“年度行業(yè)研究”這個(gè)系列,選擇了當(dāng)下最受關(guān)注的領(lǐng)域進(jìn)行系統(tǒng)梳理。這些行業(yè),或正在改寫當(dāng)下新經(jīng)濟(jì)格局,或有可能重塑未來商業(yè)甚至國際格局,或是36氪讀者感興趣,或是正產(chǎn)生巨大的社會(huì)影響。我們也希望用這樣的方式,和我氪的讀者一起“無限拓展邊界”,一起“更先看到未來”。

本文是這個(gè)系列的一篇。我們選取了DevSecOps,這一在IT界逐步普及的理念。從云計(jì)算到云原生再到DevOps,我們看到,每一次IT理念的變化都意味著開發(fā)流程的迭代,這使得企業(yè)業(yè)務(wù)的敏捷化訴求有了基礎(chǔ)的技術(shù)支撐。而安全,作為業(yè)務(wù)合規(guī)避險(xiǎn)的基石,必然也將加入這一次變革——這也是DevSecOps的意義。

降本增效還是合規(guī)避險(xiǎn)?

過去,企業(yè)為快速在市場中占據(jù)一席之地,前者的重要性或許更甚。但隨著監(jiān)管環(huán)境日趨嚴(yán)格、競爭維度愈發(fā)多樣,降本增效或合規(guī)避險(xiǎn)已不是一道單選題。

不過落在實(shí)處,二者的融合總有博弈。比如,“安全”作為合規(guī)避險(xiǎn)的基礎(chǔ),就長期處于如此境地——幾乎所有甲方企業(yè)在采購/上線安全產(chǎn)品或功能時(shí),都希望安全可以和業(yè)務(wù)和諧共處,至少不影響業(yè)務(wù)進(jìn)展,這也是安全廠商和客戶達(dá)成合作的重要前提。

找到安全和業(yè)務(wù)開展適配的節(jié)奏,也成為一個(gè)值得討論的話題。

DevSecOps就是這樣一種理念。它是DevOps的衍生概念,即將安全(security)嵌入DevOps流程中。其核心為安全前置,強(qiáng)調(diào)安全需要貫穿從開發(fā)到運(yùn)營整個(gè)軟件生命周期的每個(gè)關(guān)鍵環(huán)節(jié)。

DevSecOps自2012年由Gartner 提出后,正逐步吸引業(yè)界的目光。國外的一個(gè)例子是,在被稱作“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”的RSA大會(huì)上,2020年的10強(qiáng)中有三家企業(yè)和DevSecOps相關(guān)。而在國內(nèi),圍繞DevSecOps的討論也在增多,當(dāng)前已經(jīng)出現(xiàn)十余家圍繞此理念創(chuàng)業(yè)的安全公司,大多數(shù)聚焦開發(fā)安全層面。

從投融資角度,近一年此領(lǐng)域公司也在不斷獲得融資,比如「默安科技」于今年11月被披露完成深信服和寧德上汽的增資;「開源網(wǎng)安」在今年10月宣布完成由松禾資本、匠一基金投資的數(shù)千萬元融資;「懸鏡安全」于今年6月宣布完成由紅杉中國種子基金獨(dú)家領(lǐng)投的數(shù)千萬元融資。

但站在更寬廣的維度,作為DevOps的延伸理念,DevSecOps的認(rèn)知度還不及前者。本文將從DevSecOps的發(fā)展歷史、促進(jìn)這一理念發(fā)展的驅(qū)動(dòng)力,相關(guān)廠商的機(jī)遇與挑戰(zhàn)入手,以期為讀者提供參考價(jià)值。

一、開發(fā)模式的轉(zhuǎn)變:從“敏捷”到“敏捷 安全”

要對DevSecOps溯源,不得不提近年來IT理念的多次迭代。敏捷,正是企業(yè)IT架構(gòu)支持前臺(tái)業(yè)務(wù)的重要考量因素。這一理念貫穿云計(jì)算、云原生、敏捷開發(fā)、DevOps以及本文的主題——DevSecOps。

進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代后,各類軟件應(yīng)用在各行各業(yè)滲透,業(yè)務(wù)高速發(fā)展,用戶量激增。面對這種情況,企業(yè)要把更多的人力、物力、精力放在業(yè)務(wù)邏輯的建設(shè)上,而非基礎(chǔ)設(shè)施。換言之,以盡量敏捷、可靠、成本低的方式應(yīng)對業(yè)務(wù)需求是它們的訴求。

云計(jì)算的出現(xiàn)是一個(gè)解法。它改變了IT基礎(chǔ)設(shè)施和應(yīng)用實(shí)施模式,使得存儲(chǔ)、計(jì)算等信息服務(wù)像水電氣等公共設(shè)施一樣,可以通過網(wǎng)絡(luò)靈活按需使用。它的最終目標(biāo)是,在理想狀態(tài)下,企業(yè)后續(xù)的IT系統(tǒng)開發(fā)完全只需關(guān)心業(yè)務(wù)功能和邏輯實(shí)現(xiàn),其余圍繞IT基礎(chǔ)設(shè)施的內(nèi)容都不再關(guān)心,由云平臺(tái)提供能力。所以,云計(jì)算在帶來節(jié)省成本的優(yōu)勢之外,也帶來效率和速度的提升。

再進(jìn)一步,要實(shí)現(xiàn)徹底的敏捷,不僅需要基礎(chǔ)設(shè)施上云,業(yè)務(wù)(應(yīng)用)“云化”才能真正將“云”的價(jià)值發(fā)揮出來,而這也正是云原生的核心理念。36氪此前曾對云原生做過深度分析,簡言之,云原生應(yīng)用的興起讓一切組件和相關(guān)的服務(wù)都在云端解決,這進(jìn)一步提升了IT在后端對前端業(yè)務(wù)的支持效率。

在理念落地時(shí),需要IT部門的角色、流程進(jìn)行相應(yīng)轉(zhuǎn)換。所以,IT部門的軟件開發(fā)流程也出現(xiàn)了從瀑布式到敏捷開發(fā),再到DevOps的迭代。

在過去,企業(yè)的軟件開發(fā)過程是傳統(tǒng)的瀑布式,即通過制定計(jì)劃、需求分析、軟件設(shè)計(jì)、程序編寫、軟件測試、運(yùn)行維護(hù)等6個(gè)流程將整個(gè)軟件生命周期銜接起來。這6個(gè)流程有著嚴(yán)格的先后次序之分,只有當(dāng)前面的流程結(jié)束之后,下一個(gè)流程才能開始運(yùn)轉(zhuǎn)。這種開發(fā)方式好似瀑布的下落,由此命名為瀑布模型。

但這種開發(fā)模式迭代速度慢,會(huì)造成人力的階段性浪費(fèi)。于是,敏捷開發(fā)出現(xiàn)了。

敏捷開發(fā)采用“迭代開發(fā)”,將軟件項(xiàng)目需求分成多個(gè)迭代,且每個(gè)迭代成果在完成開發(fā)、測試、反饋等環(huán)節(jié)后都可以進(jìn)行交付。這種模式提高了軟件開發(fā)的速度,但它注重的是軟件的開發(fā)階段,并未兼顧到運(yùn)維

所以,DevOps應(yīng)運(yùn)而生。它是一種重視“軟件開發(fā)人員(Dev)”和“IT運(yùn)維技術(shù)人員(Ops)”之間溝通合作的文化、運(yùn)動(dòng)或慣例,希望使構(gòu)建、測試、發(fā)布軟件更加敏捷、頻繁和可靠。隨著云原生的日漸普及,與之配套的devops理念也被大范圍接受。

不過可以看出,DevOps所涵蓋的員工角色包括開發(fā)人員和運(yùn)維人員,并不包括安全人員。安全,作為軟件開發(fā)的保障性因素,仍然被排除在外。DevSecOps由此出現(xiàn)。

傳統(tǒng)的安全方式難以滿足敏捷的前提,這是因?yàn)椋趥鹘y(tǒng)安全(滲透測試或人工方式等)的方式下,敏捷會(huì)影響研發(fā)交付,這是企業(yè)所不能接受的。而DevSecOps的理念在將安全融入敏捷過程中,即通過設(shè)計(jì)一系列可集成的控制措施,增大監(jiān)測、跟蹤和分析的力度,優(yōu)化安全實(shí)踐,集成到開發(fā)和運(yùn)營的各項(xiàng)工作中,并將安全能力賦給各個(gè)團(tuán)隊(duì),同時(shí)保持“敏捷”和 “協(xié)作”的初衷。在這一理念中,企業(yè)的整個(gè)IT團(tuán)隊(duì)目標(biāo)統(tǒng)一,即在保障敏捷開發(fā)的基礎(chǔ)上,共同背負(fù)起安全的責(zé)任。

“從2017年起,國際上專注DevSecOps的廠商逐漸多了起來,國內(nèi)也有越來越多的甲方和廠商開始重視開發(fā)安全。它的核心是解決在DevOps敏捷開發(fā)模式下,如何柔和地將安全嵌入進(jìn)來實(shí)現(xiàn)安全前置的問題?!眹鴥?nèi)DevSecOps敏捷安全公司「懸鏡安全」創(chuàng)始人子芽曾向36氪介紹。

二、需要流程,也需要工具

安全的本質(zhì)是為保證業(yè)務(wù)的連續(xù)性和可靠性。DevSecOps在敏捷的前提下誕生,最終目的仍是保障應(yīng)用的可靠。要達(dá)成這一目的既需要體系的規(guī)范化,也需要工具的支持——在體系上,要通過流程的設(shè)計(jì)、項(xiàng)目的管理明確責(zé)任,將安全前置;在工具上則圍繞軟件全生命周期的安全,從代碼層面保證軟件質(zhì)量。二者是互為支撐的關(guān)系。

體系將安全納入開發(fā)過程中,那么工具對DevSecOps的意義是什么?

Gartner認(rèn)為,DevSecOps需要注重以下幾點(diǎn):風(fēng)險(xiǎn)和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、考慮供應(yīng)鏈安全問題、整合預(yù)防性安全控制到共享源代碼庫和共享服務(wù)中、版本控制和安全測試的自動(dòng)化部署、系統(tǒng)配置漏洞掃描、工作負(fù)載和服務(wù)的持續(xù)監(jiān)控等。

?軟件開發(fā)既要敏捷又要安全?來看看DevSecOps吧|年度行業(yè)研究

DevSecOps框架圖

根據(jù)云計(jì)算開源產(chǎn)業(yè)聯(lián)盟的解讀,安全工具自動(dòng)化以及平臺(tái)化是DevSecOps的特點(diǎn),其重點(diǎn)是在體系中嵌入自動(dòng)化的安全工具,實(shí)現(xiàn)DevOps的體系安全。

更深一層解釋,這類安全工具是將DevSecOps落地的抓手。在傳統(tǒng)的研發(fā)過程中,研發(fā)與安全割裂,主要是因?yàn)榘踩绊懷邪l(fā)效率,但自動(dòng)化的安全工具可以適用當(dāng)前的敏捷開發(fā)需求。

而且,工具的出現(xiàn)也有助企業(yè)在組織結(jié)構(gòu)上將DevSecOps落地。這是由于,IT部門里安全人員的配比常有些失衡。一個(gè)說法是,目前大部分企業(yè)中開發(fā)、運(yùn)營和安全的比例是100:10:1,安全人員僅占開發(fā)人員的1/100。而且,安全人員人才荒的問題早已是業(yè)內(nèi)共識(shí)。根據(jù)360和獵聘發(fā)布的《2019年網(wǎng)絡(luò)安全行業(yè)人才發(fā)展研究報(bào)告》,近年來國內(nèi)人才市場上網(wǎng)絡(luò)安全求職者數(shù)量增長緩慢,與人才需求的高速增長極端不匹配,造成了人才缺口不斷擴(kuò)大。有專家預(yù)測,2020年網(wǎng)絡(luò)安全人才缺口將達(dá)到140萬。所以,通過增大安全人員的配比來實(shí)現(xiàn)DevSecOps并不現(xiàn)實(shí),最重要的是讓每個(gè)研發(fā)人員和運(yùn)維人員都具備安全方面的意識(shí),同時(shí)了解安全的工具,盡可能自己成為安全方面的專家,

所以,需要什么樣的工具?

答案很簡單,正是保證軟件安全開發(fā)的工具。隨著信息化發(fā)展,軟件應(yīng)用服務(wù)正滲透到各行業(yè)和領(lǐng)域,軟件應(yīng)用自身的安全問題也成為焦點(diǎn)。當(dāng)前全球安全事件頻發(fā),代碼程序漏洞是關(guān)鍵誘因之一。程序的安全漏洞需要盡早被發(fā)現(xiàn),如果運(yùn)行中的系統(tǒng)被曝出漏洞,企業(yè)會(huì)付出比安全前置更高的修復(fù)代價(jià)。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的統(tǒng)計(jì),在發(fā)布后執(zhí)行代碼修復(fù),其修復(fù)成本相當(dāng)于在設(shè)計(jì)階段執(zhí)行修復(fù)的30倍。

當(dāng)前主流的工具類型包括靜態(tài)應(yīng)用程序安全測試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測試(DAST)、交互式應(yīng)用程序安全測試(IAST),軟件組成分析、運(yùn)行時(shí)應(yīng)用自保護(hù)等。靜態(tài)、動(dòng)態(tài)、交互應(yīng)用程序安全測試產(chǎn)品,以及軟件組成分析都可以讓軟件得以在上線前發(fā)現(xiàn)可能的安全風(fēng)險(xiǎn),達(dá)成安全前置的目的。運(yùn)行時(shí)應(yīng)用自保護(hù),是在軟件上線后實(shí)時(shí)保證軟件安全。

目前,應(yīng)用程序的安全測試工具市場已經(jīng)比較成熟,也出現(xiàn)了多種技術(shù)分支。不過,靜態(tài)應(yīng)用程序安全測試(SAST)、動(dòng)態(tài)應(yīng)用程序安全測試(DAST)、交互式應(yīng)用程序安全測試(IAST),雖然名稱類似、目的一致,卻也不是完全互相取代的關(guān)系。

從技術(shù)角度,SAST是指不運(yùn)行被測程序本身,僅通過分析或者檢查源代碼或二進(jìn)制文件的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性。DAST指的是在測試或運(yùn)行階段,分析應(yīng)用程序的動(dòng)態(tài)運(yùn)行狀態(tài)。它主要是模擬黑客行為對應(yīng)用程序進(jìn)行動(dòng)態(tài)攻擊,通過分析應(yīng)用程序的反應(yīng),確定該應(yīng)用是否易受攻擊。IAST是一種較新的技術(shù),由Gartner在2012年提出。這種方式通過代理和在服務(wù)端部署的 Agent 程序,收集、監(jiān)控 Web 應(yīng)用程序運(yùn)行時(shí)請求數(shù)據(jù)、函數(shù)執(zhí)行,并與掃描器端進(jìn)行實(shí)時(shí)交互,從而識(shí)別安全漏洞,同時(shí)可準(zhǔn)確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。

三種不同的技術(shù)路線,也意味著這三類產(chǎn)品在效果以及適用場景上都存在差異。

在效果上,DAST準(zhǔn)確率高,但無法訪問代碼細(xì)節(jié),漏報(bào)率較高。SAST對應(yīng)用程序的源代碼或二進(jìn)制文件進(jìn)行分析,這種方式相比前者更全面,但代碼在被檢測時(shí)并沒有運(yùn)行,所以誤報(bào)率較高。IAST的方式,基本不會(huì)出現(xiàn)誤報(bào),精度非常高,但目前對開發(fā)語言的覆蓋并不全面。當(dāng)前,IAST由于規(guī)避了前兩者產(chǎn)品的弊端,在業(yè)內(nèi)關(guān)注度較高。

三類產(chǎn)品各有利弊,或許將各類產(chǎn)品放在合適場景下進(jìn)行結(jié)合,能夠更全面地滿足軟件開發(fā)的安全需求。比如,SAST比較適用于研發(fā)階段的代碼檢測,DAST和IAST比較適合QA環(huán)節(jié)。

三、國內(nèi)玩家的機(jī)會(huì)與挑戰(zhàn)

當(dāng)前我們關(guān)注到的,圍繞DevSecOps理念創(chuàng)業(yè)的安全公司也多在提供工具型產(chǎn)品,以及相應(yīng)的解決方案。再加上此類工具大多在避免應(yīng)用程序中存在安全問題,這一行業(yè)的市場廣義涵蓋在應(yīng)用安全中,狹義上屬于開發(fā)安全。

根據(jù)Gartner2020年6月發(fā)布的統(tǒng)計(jì)數(shù)據(jù),全球2019年各項(xiàng)安全類支出總計(jì) 1209.34 億美元,預(yù)計(jì)2020年將達(dá)到1238.18億美元,其中應(yīng)用安全市場規(guī)模2019年為30.95億美元,預(yù)計(jì)2020年將達(dá)到32.87億美元,年增長率達(dá)到6.2%,明顯高于整體信息安全市場的2.4%年增長率。中國的應(yīng)用安全市場增速高于全球,市場規(guī)模占全球比例達(dá)到近三分之一。根據(jù)中國云計(jì)算開源產(chǎn)業(yè)聯(lián)盟的報(bào)告,2019年國內(nèi)應(yīng)用安全市場規(guī)模達(dá)到8.48億美元,市場規(guī)模占全球應(yīng)用安全市場規(guī)模比例達(dá)到近三分之一,預(yù)計(jì)2020年市場規(guī)模將達(dá)到9.45億美元,年增長率達(dá)到11.5%,高于全球6.2%的增長率。

這其中,上文重點(diǎn)介紹的AST市場增速最快。市場規(guī)模占比超過應(yīng)用安全總體市場規(guī)模的三分之一。Gartner 2019年4月發(fā)布的報(bào)告調(diào)查數(shù)據(jù)顯示,應(yīng)用安全測試市場預(yù)計(jì)將以10%的復(fù)合年增長率增長,這仍是信息安全領(lǐng)域中快速增長的部分。到2019年底,AST的市場規(guī)模估計(jì)達(dá)到 11.5億美元,市場規(guī)模占比超過應(yīng)用安全總體市場規(guī)模的三分之一。我們目前關(guān)注到的,主打DevSecOps理念的安全公司也多以AST為基礎(chǔ)開展業(yè)務(wù)。

36氪此前通過和「航行資本」等關(guān)注安全的業(yè)內(nèi)人士,以及「開源網(wǎng)安」等安全企業(yè)交流了解到,在中國促使該行業(yè)增長的原因可能有以下幾點(diǎn):

  • 首先是安全事件驅(qū)動(dòng)下的意識(shí)提升。最近的例子是在實(shí)戰(zhàn)攻防演練中,許多系統(tǒng)顯露出薄弱性,從代碼層保證軟件安全是一種解決方式;

  • 第二,以往一些在國內(nèi)普及的軟件安全開發(fā)產(chǎn)品有退出國內(nèi)市場趨勢,這會(huì)給國內(nèi)公司更多空間;

  • 第三,現(xiàn)在大型基礎(chǔ)軟件的自主開發(fā)正在進(jìn)程中,這其中也會(huì)產(chǎn)生新的開發(fā)安全需求。

不過獨(dú)立安全公司需要面對的挑戰(zhàn)也不得不提。首先,僅僅提供單品類產(chǎn)品是不夠的,客戶的高階需求是對軟件開發(fā)的全生命周期進(jìn)行管理,建立可清晰度量的安全開發(fā)體系。所以對第三方廠商而言,當(dāng)前不僅需要提供產(chǎn)品,也需要提供可以將新、老產(chǎn)品集成起來的平臺(tái),還需要提供服務(wù)甚至培訓(xùn)。當(dāng)前也有一些廠商針對此訴求提供全方位的方案。

另外在客戶端,一些技術(shù)實(shí)力較強(qiáng)的公司會(huì)采取自主研發(fā)的手段。比如大型互聯(lián)網(wǎng)公司乃至云廠商會(huì)自主研發(fā)工具解決內(nèi)生需求,并盡可能提供給自己的客戶。在這種情況下,安全公司需要根據(jù)此類客戶自身的情況,為其補(bǔ)足能力。整體來看,目前聚焦于此的公司,客戶主要分布在金融、能源、政府等領(lǐng)域,如果客戶對此類產(chǎn)品較熟悉,那么企業(yè)可提供輕量服務(wù)。但如果客戶需要較全面的貼身服務(wù),則如何通過提升產(chǎn)品力降低人力成本,也成為廠商的挑戰(zhàn)之一。

四、參與者概覽

當(dāng)前我們關(guān)注到國內(nèi)在此領(lǐng)域的創(chuàng)業(yè)公司有十余家,在此將它們的業(yè)務(wù)概況稍作展示(排名不分先后)。

懸鏡安全

懸鏡安全由北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊(duì)“XMIRROR”主導(dǎo)創(chuàng)立。成立于2014年9月,專注DevSecOps軟件供應(yīng)鏈持續(xù)威脅一體化檢測防御,旗下原創(chuàng)懸鏡DevSecOps智適應(yīng)威脅管理體系主要覆蓋從威脅建模、威脅發(fā)現(xiàn)、威脅模擬到檢測響應(yīng)等關(guān)鍵環(huán)節(jié)的開發(fā)運(yùn)營一體化敏捷安全產(chǎn)品及以實(shí)戰(zhàn)攻防對抗為特色的政企安全服務(wù)。

默安科技

默安科技成立于2016年,是一家云計(jì)算時(shí)代的新興網(wǎng)絡(luò)安全公司。公司推出貫穿完整業(yè)務(wù)生命周期的左移開發(fā)安全DevSecOps與智慧運(yùn)營安全AISecOps的下一代企業(yè)安全體系。據(jù)介紹,公司落地了欺騙防御理念,推出“平臺(tái) 工具 服務(wù)”的全流程安全開發(fā)方案以及集南北向和東西向流量監(jiān)測于一體的云平臺(tái)運(yùn)營安全解決方案,希望幫助客戶實(shí)現(xiàn)安全業(yè)務(wù)的前置化、體系化、實(shí)戰(zhàn)化、精準(zhǔn)化與智能化。

開源網(wǎng)安

開源網(wǎng)安成立于2013年,致力于讓企業(yè)交付更安全的軟件,為軟件安全開發(fā)提供全方位的服務(wù),包括咨詢、培訓(xùn)、解決方案、專業(yè)工具及安全服務(wù)等。公司當(dāng)前為客戶提供軟件安全開發(fā)生命周期 (S-SDLC?) 解決方案、DevSecOps?解決方案、擁有“自主知識(shí)產(chǎn)權(quán)”的軟件安全開發(fā)工具鏈(IAST、SAST、SCA、FUZZ、RASP?)和軟件安全開發(fā)人才培養(yǎng)課程體系CWASP?。

酷德啄木鳥

酷德啄木鳥成立于2014年,是一家專注軟件源代碼信息安全業(yè)務(wù)的科技企業(yè)。據(jù)公司介紹,其自主研發(fā)的CodePecker源代碼缺陷分析系統(tǒng),為國內(nèi)第一款完全自主知識(shí)產(chǎn)權(quán)的商用源代碼檢測產(chǎn)品。

孝道科技

杭州孝道科技成立于2014年,公司專注為用戶提供DevSecOps與下一代應(yīng)用安全解決方案。產(chǎn)品包括IAST、ASTP、代碼安全合規(guī)檢測系統(tǒng)、移動(dòng)應(yīng)用安全測試系統(tǒng)、綜合漏掃與安全合規(guī)檢測系統(tǒng)。

海云安

海云安成立于2015年,致力于“可信應(yīng)用,主動(dòng)防御”系列應(yīng)用安全產(chǎn)品研發(fā)推廣。

其產(chǎn)品分為有四類,首先移動(dòng)應(yīng)用安全檢測產(chǎn)品,以及安全加固和監(jiān)管系列產(chǎn)品;第二源碼安全分析平臺(tái)和白盒、灰盒、黑盒安全產(chǎn)品;第三面向安全管理中心,研發(fā)的主動(dòng)安全防御系統(tǒng)和可信應(yīng)用安全產(chǎn)品;第四應(yīng)用級系統(tǒng)災(zāi)備方案。

愛加密

愛加密成立于2013年,目前擁有移動(dòng)安全咨詢、移動(dòng)安全培訓(xùn)、移動(dòng)安全檢測、移動(dòng)安全加固、移動(dòng)安全感知、移動(dòng)安全管理等產(chǎn)品體系,可為用戶提供基于企業(yè)移動(dòng)信息安全的一體化綜合解決方案。這些解決方案貫穿了應(yīng)用設(shè)計(jì)評估、安全開發(fā)測試、應(yīng)用優(yōu)化、應(yīng)用安全發(fā)布及應(yīng)用上線運(yùn)營階段的整個(gè)生命周期。

棱鏡七彩

棱鏡七彩成立于2016年。據(jù)介紹,公司建立了國內(nèi)首家全球開源項(xiàng)目知識(shí)庫(近1000萬個(gè)項(xiàng)目,100TB 容量數(shù)據(jù)),可檢測出軟件源代碼構(gòu)成、來源、漏洞、自主率、安全協(xié)議等信息,提供軟件信息安全、科技含量與工作量信息及知識(shí)產(chǎn)權(quán)評估評測。

中科天齊

中科天齊是中科院計(jì)算技術(shù)研究所軟件安全領(lǐng)域的產(chǎn)業(yè)化平臺(tái)。公司以軟件源代碼漏洞檢測安全智能診斷工具(Wukong)作為核心產(chǎn)品,希望提供覆蓋不同開發(fā)語言的漏洞檢測技術(shù)能力,幫助軟件提升安全能力。為國內(nèi)外政府、金融、電信、科技等行業(yè)客戶提供專業(yè)全面的軟件源代碼漏洞檢測解決方案,幫助客戶在軟件開發(fā)過程中查找、識(shí)別、追蹤絕大部分主流編碼中的技術(shù)漏洞和邏輯漏洞,幫助客戶以低成本控制應(yīng)用程序安全風(fēng)險(xiǎn)。

庫博

北大軟件CoBOT(庫博)團(tuán)隊(duì)由北京大學(xué)軟件工程國家工程研究中心提供研發(fā)力量,北京北大軟件工程股份有限公司提供商業(yè)化運(yùn)作模式,目的是共同將CoBOT推向更廣的市場。公司介紹,目前CoBOT是中國唯一一個(gè)通過美國CWE認(rèn)證的安全產(chǎn)品,技術(shù)上屬于國內(nèi)領(lǐng)先、國際先進(jìn)水平并且程序分析也屬于軟件工程領(lǐng)域最具技術(shù)含量的領(lǐng)域之一。

九州安域

九州安域是網(wǎng)絡(luò)安全產(chǎn)品及解決方案提供商,其目標(biāo)是為客戶構(gòu)建安全、穩(wěn)定、可持續(xù)發(fā)展的業(yè)務(wù)系統(tǒng)。提供業(yè)務(wù)系統(tǒng)端到端安全,在業(yè)務(wù)系統(tǒng)設(shè)計(jì)、開發(fā)、測試、運(yùn)維的全生命周期提供安全咨詢、代碼安全、安全測試、安全評估、滲透測試等服務(wù)。

中科微瀾

中科微瀾科技有限公司是由中國科學(xué)院軟件研究所入股成立的高科技型信息安全企業(yè)。其擁有安全漏洞管理與分析解決方案,通過智能漏洞管理引擎幫助客戶了解自身主機(jī)安全環(huán)境、源代碼安全狀況及知識(shí)產(chǎn)權(quán)許可證的合規(guī)性情況。據(jù)公司介紹,其深耕人工智能技術(shù),研制出獨(dú)特領(lǐng)先的漏洞挖掘技術(shù),使得軟件開發(fā)人員、軟件經(jīng)銷商、系統(tǒng)集成商和安全測試機(jī)構(gòu)可以很輕松的在軟件開發(fā)中、軟件交付前、主機(jī)運(yùn)行時(shí)環(huán)境等各階段中采取合適的預(yù)防措施。

鑒釋

鑒釋成立于2018年,其研發(fā)的「愛科識(shí)」是基于靜態(tài)代碼掃描(SAST)的下一代源代碼分析工具。它使用深層的編譯器級別技術(shù)來檢查數(shù)據(jù)流,分析軟件應(yīng)用程序,從而提高了缺陷檢測的準(zhǔn)確性。其可在軟件開發(fā)生命周期(SDLC)的早期識(shí)別代碼缺陷。

熠勢

上海熠勢信息技術(shù)有限公司是一家從事軟件應(yīng)用安全行業(yè)的公司,產(chǎn)品和方案可以覆蓋軟件開發(fā)的整個(gè)流程,致力于將安全性集成到軟件開發(fā)生命周期(SDLC)中。公司希望和客戶一起,在軟件開發(fā)生命周期(SDLC)早期采用DevOps,縮短反饋回路并且降低復(fù)雜性,從而使工程師能夠更快、更輕松地檢測和修復(fù)安全性和合規(guī)性問題,快速向DevSecOps 邁進(jìn)。目前公司業(yè)務(wù)范圍覆蓋金融,汽車,IT/互聯(lián)網(wǎng)等多個(gè)行業(yè)。

————————————————

相關(guān)閱讀:

被攪動(dòng)的萬億5G市場:億級用戶的連接重構(gòu)與產(chǎn)業(yè)互聯(lián)網(wǎng)的誕生|年度行業(yè)研究

全球量子競賽再加速:百億美元市場背后,角力量子霸權(quán) | 年度行業(yè)研究

36氪新風(fēng)向 | 大廠緊抓不放,創(chuàng)業(yè)者紛紛入局,「云原生」到底有什么魔力?

相關(guān)新聞

聯(lián)系我們
聯(lián)系我們
在線咨詢
分享本頁
返回頂部