藍源衛士

• 項目背景

  隨著開源軟件的興起和廣泛應用，越來越多的企業和個人傾向于使用開源軟件去解決問題或快速開發產品。然而，開源軟件的使用也帶來了安全漏洞和許可證合規等問題。許多開源軟件的代碼和組件可能存在漏洞或安全隱患，而這些漏洞或隱患往往被攻擊者利用來實施攻擊，對企業的數據和財產造成威脅。同時，許多開源軟件的使用還存在許可證合規問題，如果企業或個人不遵守許可證規定，可能會面臨法律訴訟和財務損失。

  在中央網信辦網絡安全協調局、公安部網絡安全保衛局指導下，中國電子技術標準化研究院組織研制了《信息安全技術關鍵信息基研設施安全保護要求》 (GB/T39204-2022) 國家標注標準。2023年5月1日此次正式實施的《保護要求》 進一步明確，關鍵信息基礎設施安全保護，是在國家網絡安全等級保護制度基礎上，借鑒我國相關部門在重要行業和領域開展網絡安全保護工作的成熟經驗，吸納國內外在關鍵信息基礎設施安全保護方面的舉措，結合我國現有網絡安全保障體系等成果，從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面，提出關鍵信息基礎設施安全侈護要求，采取必要措施保護關鍵信息基礎設施業務連續運行，及其重要數據不受破壞，切實加強關鍵信息基礎設施安全保護。其中包含源代碼安全檢測”"知識產權”，每年至少進行一次安全檢測評估.為了解決這些問題，”藍源衛士“應運而生。作為一款開源代碼的安全漏洞和許可證合規掃描產品，”藍源衛士“可以幫助企業和個人發現開源軟件中存在的安全漏洞和許可證合規問題，從而規避風險，確保軟件的安全和合規。

• 解決方案

  ——開源代碼匹配檢測

  檢測上傳的源代碼中匹配開源庫的代碼并檢測可能涉及的開源代碼許可證.支持幾乎所有-Github上存在的語言,如JavaScript、Python、JavaC++、C、PHP等代碼片段級匹配(支持文本和二進制文件的片段搜索。)

  ——代碼漏洞檢測

  快速檢測安全漏洞問題并提供漏洞修復建議。支持C、C++、C#、Java、PHP、JSP、Python等主流編程語言開發的軟件源代碼的檢測。支持緩沖區溢出、代碼注入、跨站腳本、輸入驗證、API誤用、密碼管理、配置錯誤、危險函數等13個大類，600多個小類的缺陷檢測。兼容CWE、OWASPTop 10、CWE/SANSTOP25的檢測。

  ——開源組件檢測

  檢測上傳的源代碼中匹配開源庫的代碼，并檢測可能涉及的開源代碼許可證。支持主流語言的依賴組件檢測，如package.json、requirments.txt、pom.xml、 Gemfile等。

  ——許可證合規性檢測

  驗證軟件內容，確認License合規性擁有將數萬億文件簽名映射到可擴展知識庫的專利壓縮方案。擁有最快的哈希算法可擴展到知識庫中的數 萬億個代碼簽名。

• 項目成效

  1、幫助客戶 “看見”軟件中的開源資產 ：

  當前軟件開發過程中絕大多數都會引入大量的開源組件，但企業用戶或者開發管理者不清楚眾多軟件系統中到底引入了多少開源組件？引入了哪些開源組件？藍源衛士可以識別企業軟件系統中包含了哪些開源組件以及形成企業開源組件資產可視化清單，使得企業能夠清晰地掌握自己軟件中的開源組件資產。

  2、讓客戶 “掌握”最新開源代碼漏洞情報：

  企業從海量網絡安全情報信息中，獲取影響企業自身的開源代碼漏洞信息，成本高、難度大。藍源衛士擁有60T+本地知識庫和開源 漏洞查找修復專利技術，可在短時間內提供完整的軟件漏洞報告，讓客戶及時獲取到影響其自身安全的最新開源組件、代碼漏洞情報。

  3、從源頭解決安全問題，實現軟件“基因”優化，有效降低軟件安全問題的修復成本：

  源代碼安全檢測能降低軟件修復成本，據統計在軟件交付后發現問題再進行整改的成本比軟件開發初期經安全檢測發現并整改所花的成本要高50~100倍，開發過程中持續進行源代碼安全檢測可以在軟件交付前規避漏洞，實現軟件“基因”優化。

• 核心價值

  藍源科技自主研發的開源成分分析與安全檢測平臺 ，定位為代碼級同源性分析及安全檢測審查工具 ，為用戶提供開源代碼漏洞檢測、開源代碼匹配檢測、開源組件檢測、許可證合規性檢測等開源管理及安全服務解決方案。