北大软件CoNET软件代码成分和安全分析平台即将正式发布(非官方)
?
根據(jù)全球最具權(quán)威的IT研究與顧問咨詢公司Gartner發(fā)布數(shù)據(jù)來看,從2010年到2018年軟件程序代碼中采用開源框架或組件、第三方庫的比例每年以30%的速度在增長(zhǎng),大量的軟件系統(tǒng)引入了開源代碼,有的系統(tǒng)引用開源代碼比例甚至達(dá)到了80%以上,這在IT研發(fā)環(huán)節(jié),大幅度提升了軟件研發(fā)的效率,降低了成本,但是開源軟件中大量缺陷、甚至安全漏洞也一并打包進(jìn)入到了軟件部署包,從而進(jìn)入了軟件供應(yīng)鏈各個(gè)環(huán)節(jié)。
根據(jù)Gartner調(diào)查結(jié)果顯示,很多公司軟件研發(fā)企業(yè)的管理人員、程序員對(duì)于引入開源代碼的風(fēng)險(xiǎn)不了解或了解很少。雖然很多公司包括客戶通過引入驗(yàn)收測(cè)試、第三方測(cè)試等手段對(duì)系統(tǒng)進(jìn)行測(cè)試,但是目前軟件測(cè)試中,對(duì)于安全性測(cè)試僅僅局限在數(shù)據(jù)安全、權(quán)限安全等方面,對(duì)于系統(tǒng)安全測(cè)試重視程度較弱,思想上存在僥幸心理,認(rèn)為自己的系統(tǒng)不會(huì)被惡意攻擊者攻擊。另外,由于目前國(guó)內(nèi)尚無對(duì)軟件代碼中第三方庫、開源框架、組件進(jìn)行檢測(cè)的工具,導(dǎo)致引入開源代碼和第三方庫的質(zhì)量無法進(jìn)行檢測(cè),無法確定引入的代碼中是否存在惡意后門、病毒以及安全漏洞,可能直到爆發(fā)安全事件才能暴露出來。還有一個(gè)方面,就是引入開源代碼的許可證問題,目前開源軟件主流的許可證有80多種,國(guó)內(nèi)研發(fā)人員不太注重許可證的問題,但是如果軟件產(chǎn)品出口,則可能存在著產(chǎn)權(quán)風(fēng)險(xiǎn)。
北京大學(xué)軟件工程國(guó)家工程研究中心一直致力于軟件工程的研究,立足于國(guó)際技術(shù)研究前沿,洞察軟件工程發(fā)展的趨勢(shì),與北京北大軟件工程股份有限公司合作,歷經(jīng)五年研制了CoNET軟件成分和安全分析平臺(tái),于本月7月15日即將正式發(fā)布。該工具采用主流架構(gòu),B/S形式部署,可以進(jìn)行分布式部署,為企業(yè)研發(fā)提供代碼成分和安全檢測(cè),能夠減少企業(yè)研發(fā)風(fēng)險(xiǎn),保護(hù)IT投資。該產(chǎn)品上市,填補(bǔ)了空白在開源軟件檢測(cè)領(lǐng)域的空白。
CoNET對(duì)主流開源網(wǎng)站Github、Gitlab、Source Force等上約4000萬個(gè)開源項(xiàng)目超過75億開源文件進(jìn)行分析、對(duì)于超過50萬多個(gè)二進(jìn)制代碼進(jìn)行了分析。CoNET安全漏洞數(shù)據(jù)庫積累了超過20萬個(gè)公開漏洞,同時(shí)也積累了未公開漏洞數(shù)據(jù)。支持80種以上許可證分析。目前CoNET數(shù)超過50T上代碼和漏洞數(shù)據(jù),全部實(shí)現(xiàn)了漏洞和項(xiàng)目、文件和代碼的一一對(duì)應(yīng)。
CoNET產(chǎn)品提供企業(yè)軟件代碼的成分清單,能夠使IT人員全面掌握組件、版本、許可證、漏洞以及對(duì)應(yīng)的升級(jí)信息等。通過對(duì)引用組件的漏洞檢測(cè)、修復(fù)和跟蹤,能夠規(guī)避0day漏洞,監(jiān)控企業(yè)面臨的軟件新風(fēng)險(xiǎn)。通過成分分析,讓采購方或管理者全面掌握代碼的自研比例,能夠最小化成本和資源,為評(píng)估軟件資產(chǎn)提供依據(jù)。工具采用CVSS國(guó)際通用缺陷評(píng)估標(biāo)準(zhǔn),提供企業(yè)對(duì)軟件質(zhì)量的評(píng)估。
?
(完)
總結(jié)
以上是生活随笔為你收集整理的北大软件CoNET软件代码成分和安全分析平台即将正式发布(非官方)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 360,手机助手的功能,既然有如此完美?
- 下一篇: Oracle ERP 11i中英对照词汇