打造安全的软件供应链：自动化软件安全测试

——稳如泰山·值得托付——

互联 时代变化迅速，企业也需要随之而动，为了应对快速变化的业务需求软件开发进度及迭代也越来越快，敏捷开发成为开发主流，DevOps也已成为趋势。

但是随着开发速度的提升，软件质量越来越难以保障。开发安全也已经成为2020RSAC关注的重点之一，企业所开发的软件往往存在各类缺陷，引入的第三方框架也不尽安全，加之开发人员在处理第三方和开源软件过程中很难确认其安全性，一旦发生问题给企业造成重大损失，如何让开发又快又安全成为企业亟待解决的问题。

自动化软件安全测试能力助力企业开发安全

在传统的供应链安全体系中，企业不仅仅考虑产品自身的安全性，还会考虑供应链中每个关键环节的安全，如供应商提供的零件是否安全，产品出厂后会不会被攻击者恶意篡改等。软件供应链也是如此，需要考虑软件全周期的安全性，其中软件安全测试是打造安全软件供应链中的重要一环。

Gartner在2020年发布的《应用安全测试魔力象限2020》 告中明确指出目前软件安全测试的四大主流技术：SAST、DAST、IAST和SCA，换言之通过这四类技术的有机融合可以有效支持软件安全测试工作。

梆梆安全基于自身多年应用安全积累，推出SAST类产品源码安全检测平台。源码安全检测平台支持对于Java、C/C++等主流编程语言进行代码静态安全测试，基于CWE和OWASP的缺陷定义，涵盖设计、实现过程中出现的常见重要安全问题，包括内存泄漏、数据越界、空指针解引用等，支持与外部系统联动嵌入开发流程，在不干扰开发的情况下构建基础保障，有效帮助企业进行自动化软件安全测试，帮助企业打造安全软件供应链。

做好软件供应链安全管理势在必行

CNCERT在《2019年开源软件风险研究 告》中明确指出：《 络安全审查办法》要求加强关键信息基础设施供应链安全。 安专家Christopher J. Romeo（Security Journey CEO）在2020RSAC演讲中基于 络安全行业给了开发人员10条重要的建议。他提到第三方开源漏洞信息非常猖獗，没有集成的安全性，就不可能有真正的DevOps，安全系统的开发是具有生命周期的。这也印证了梆梆安全一直以来提及的开发安全的观点，要注重软件开发全生命周期的安全，软件供应链引入的安全问题同样值得关注。

梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制，并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力，帮助企业建立软件供应链管理制度，保障软件供应链安全，做好安全开发管控，避免出现各类违规行为，使得最终用户能够安心使用企业所提供的服务。

我就知道你“在看”