數(shù)安護航 新品發(fā)布

現(xiàn)代軟件已不再是孤立的代碼，而是一條由無數(shù)環(huán)節(jié)組成的鏈條，任何一個環(huán)節(jié)的漏洞，都可能成為整個生態(tài)系統(tǒng)的災(zāi)難入口。以數(shù)字安全能力助力共護數(shù)字時代信息安全，近日，萬里紅在第12屆中國國際警用裝備博覽會上，正式發(fā)布了萬里紅供應(yīng)鏈軟件安全解決方案，為數(shù)字時代信息安全提供體系化的軟件供應(yīng)鏈安全風(fēng)險排查和防護的技術(shù)手段，共護數(shù)字時代的信息安全。

有關(guān)研究表明，在全球基于17個行業(yè)，1067個商業(yè)代碼庫中，96%代碼庫包含開源代碼，77%開源代碼存在于商業(yè)代碼庫中，國內(nèi)使用開源技術(shù)的企業(yè)占比達88.2%。在過去三年中針對上游開源代碼存儲庫的攻擊數(shù)量增加了742%……

近年來，針對重要領(lǐng)域、核心系統(tǒng)的供應(yīng)鏈攻擊呈現(xiàn)出爆發(fā)式增長，成為影響企事業(yè)單位運營、信息安全的重要因素。

作為數(shù)字安全和數(shù)智應(yīng)用領(lǐng)域的“國家隊”，萬里紅基于多年來的數(shù)字安全技術(shù)積淀，在第十二屆警博會上正式推出萬里紅供應(yīng)鏈軟件安全解決方案，聚焦供應(yīng)鏈軟件安全管理、開發(fā)安全、供應(yīng)鏈清單圖譜、安全風(fēng)險管理等四大關(guān)鍵治理要素，構(gòu)建起多層次、全方位的供應(yīng)鏈軟件安全風(fēng)險排查與防護體系，為數(shù)字時代信息安全提供體系化的供應(yīng)鏈軟件安全排查與防護技術(shù)手段。

四治融合 提升供應(yīng)鏈軟件安全韌性

萬里紅供應(yīng)鏈軟件安全解決方案，聚焦強化四大核心治理要素協(xié)作配合，形成全面覆蓋安全評估、安全檢測、安全管理、應(yīng)急處置的供應(yīng)鏈安全防護體系，保障供應(yīng)鏈軟件全生命周期安全。

01安全管理制度：依據(jù)相關(guān)法律法規(guī)及標準等要求，助力用戶構(gòu)建完善的供應(yīng)鏈安全管理制度體系，為保障供應(yīng)鏈軟件安全穩(wěn)定，提供堅實的制度保障。

02開發(fā)安全管理：支持軟件開發(fā)的全生命周期的安全管理，將風(fēng)險安全左移，不讓供應(yīng)鏈軟件“帶病上崗”。

03供應(yīng)鏈清單圖譜：“摸清家底”，將各類供應(yīng)鏈離散數(shù)據(jù)孤島，統(tǒng)一整理建立相應(yīng)血緣關(guān)聯(lián)關(guān)系，全景顯示供應(yīng)鏈安全現(xiàn)狀。

04安全風(fēng)險管理：對于現(xiàn)有供應(yīng)鏈安全情況進行全面脆弱性評估與風(fēng)險評估，通過對供應(yīng)鏈成分分析、安全漏洞、威脅情報、許可合規(guī)、知識庫等全面的安全風(fēng)險管理，消除現(xiàn)有存在安全風(fēng)險。

全場景供應(yīng)鏈軟件安全 新品首發(fā)

基于萬里紅供應(yīng)鏈軟件安全解決方案完整體系，根據(jù)不同應(yīng)用場景及需求，萬里紅首次發(fā)布了7款供應(yīng)鏈軟件安全排查與防護類新品，以最佳實踐方式為數(shù)字時代信息安全提供最佳解決方案：

1萬里紅供應(yīng)鏈安全一體化智能作戰(zhàn)平臺

該平臺基于自主研發(fā)的多源供應(yīng)資產(chǎn)探測采集、關(guān)鍵節(jié)點建模分析技術(shù)，構(gòu)建了覆蓋供應(yīng)鏈全生命周期的安全資產(chǎn)圖譜，實現(xiàn)了多源、多種、多級資產(chǎn)目錄與供應(yīng)服務(wù)的精細化管理。

√ 數(shù)據(jù)采集治理 √ 全域資產(chǎn)管理

√ 漏洞管理運營 √ 軟件物料清單

√ 指標監(jiān)測管理 √ 多源工具集成

2萬里紅開源軟件安全智能檢測系統(tǒng)

萬里紅開源軟件安全智能檢測系統(tǒng)是集開源軟件成分識別、風(fēng)險分析、安全治理、閉環(huán)管控于一體的開源軟件安全平臺。平臺支持與軟件開發(fā)全生命周期無縫對接，適用于供應(yīng)鏈軟件上下游各環(huán)節(jié)、供方需方的開源安全檢測需求。

√ 實現(xiàn)二進制函數(shù)級關(guān)鍵分析能力，面向信創(chuàng)軟件環(huán)境下二進制軟硬件代碼安全檢測。

√ 貫徹安全“左”移治理理念，面向需求設(shè)計初期安全準入管控的開源軟件安全評估模型與組件選型工具。

√ 開源漏洞可達性驗證技術(shù)，實現(xiàn)風(fēng)險特征函數(shù)自動驗證，實現(xiàn)安全治理降本增效。

√ 通過開源安全檢測與數(shù)字定向防護技術(shù)，實現(xiàn)漏洞精準攔截修復(fù)。

3萬里紅靜態(tài)安全應(yīng)用智能檢測系統(tǒng)

萬里紅靜態(tài)安全應(yīng)用智能檢測系統(tǒng)是一款針對源代碼缺陷進行靜態(tài)分析的檢測系統(tǒng)。該系統(tǒng)在對目標軟件代碼進行語法、語義分析的技術(shù)上，輔以數(shù)據(jù)流分析、控制流分析和特有的缺陷分析算法等高級靜態(tài)分析手段，高效檢測軟件源代碼中可能導(dǎo)致嚴重缺陷漏洞和系統(tǒng)運行異常的安全問題和程序缺陷，并準確定位告警，從而有效幫助開發(fā)人員消除代碼中的缺陷、減少安全隱患，為軟件的信息安全保駕護航。

√ 源代碼分析 √ 安全規(guī)則檢查

√ 自動化掃描 √ 集成CI/CD

√ 漏洞修復(fù)反饋 √ 支持多語言框架

4萬里紅動態(tài)安全應(yīng)用智能檢測系統(tǒng)

萬里紅動態(tài)安全應(yīng)用智能檢測系統(tǒng)在不破壞DevOps的協(xié)作性和敏捷性的前提下，對應(yīng)用程序的動態(tài)行為進行測試和分析，并定位漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)，識別漏洞的形成過程，準確地發(fā)現(xiàn)和識別潛在的安全漏洞和風(fēng)險，提供更安全可靠和全面的應(yīng)用程序安全檢測解決方案。

√ 漏洞檢測 √ 漏洞驗證

√ 組件風(fēng)險分析 √ 敏感信息檢測

5萬里紅容器鏡像安全智能檢測系統(tǒng)

萬里紅容器鏡像安全智能檢測系統(tǒng)是為DevOps全生命周期和容器環(huán)境全棧提供安全防護。系統(tǒng)融合云原生特性，將安全能力左移到構(gòu)建階段，利用數(shù)據(jù)驅(qū)動安全的技術(shù)路線，主動持續(xù)開展風(fēng)險分析，并通過近源端控制實現(xiàn)安全防護，構(gòu)建高效的云原生安全體系。

√ 鏡像軟件供應(yīng)鏈安全

√ 容器工作負載安全

√ 容器網(wǎng)絡(luò)安全

√ 集群安全態(tài)勢管理……

6萬里紅模糊測試智能化系統(tǒng)

系統(tǒng)是基于智能模糊測試引擎集、并行模糊測試框架，結(jié)合AIGC技術(shù)構(gòu)建的新一代智能模糊測試系統(tǒng)平臺，可應(yīng)用于各類安全關(guān)鍵領(lǐng)域，支持對源代碼、二進制（無源碼）、操作系統(tǒng)內(nèi)核（包括基于Linux內(nèi)核的國產(chǎn)操作系統(tǒng)）、協(xié)議及Web API進行檢測，覆蓋了系統(tǒng)健壯性測試、0 day漏洞挖掘等測試場景。

√ 代碼模糊測試 √ 操作系統(tǒng)模糊測試

√ 二進制模糊測試 √ API模糊測試

√ 協(xié)議模糊測試 √ 分布式并行測試

7萬里紅供應(yīng)鏈安全便攜式檢查設(shè)備

萬里紅供應(yīng)鏈安全便攜式檢查設(shè)備是從供應(yīng)鏈安全管理和風(fēng)險威脅等多維度出發(fā)，自主研發(fā)的供應(yīng)鏈軟件安全檢測便攜式設(shè)備。該型設(shè)備能夠安全無損地對供應(yīng)鏈軟件安全中的各類組成單元、業(yè)務(wù)應(yīng)用系統(tǒng)甚至在建系統(tǒng)進行安全檢測，幫助用戶清晰地了解所處供應(yīng)鏈軟件的資產(chǎn)構(gòu)成和安全隱患，并提供配套的整改建議方案。

作為數(shù)字安全和數(shù)智應(yīng)用領(lǐng)域的“國家隊”，萬里紅將依托二十余年來在終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全檢查、安全運營、保密安全等領(lǐng)域積累的深厚技術(shù)和豐富實踐經(jīng)驗，持續(xù)深化供應(yīng)鏈軟件安全排查和防護能力體系建設(shè)，助力用戶共護數(shù)字時代的“數(shù)字生命線”，守牢“數(shù)字安全線”。