2021-11-19

资质认证 | 【鸿渐SCA】荣获CNNVD兼容性资质证书

鸿渐SCA荣获国家信息安全漏洞库(CNNVD)兼容性资质证书。

2021-11-11

鸿渐科技入选安全牛100中国网络安全细分领域【新兴安全】代表厂商

11月9日,安全牛发布了中国网络安全企业100强(第九版),鸿渐科技凭借在软件研发安全的创新技术入选安全牛100中国网络安全细分领域【新兴安全】代表厂商。 (完整名单点击“阅读原文”查看) 据Gartner2019年统计,网络安全92%的风险来自于软件应用层,应用层的检测显得尤为重要。而2020年,Gartner应用安全魔力四象限中提到了代码分析技术(SAST)和软件成分分析技术(SCA)是软件研发更早阶段(开发、测试)检测重要技术手段。据统计,在开发阶段的检测成本是发布阶段的1/100,发现缺陷的数量是部署后的10倍,研发安全“左移”也成为了软件安全保障的主要趋势。2021年美国著名的RSA沙盒大赛Apiiro团队正是运用这个概念获得了全场冠军。在DevSecOps中采用白盒代码分析的方式已经成为了安全圈新的热点和方向。 为什么鸿渐科技被推荐随着软件产业的快速发展,现代软件大多数是被“组装”出来的,不是被“开发”出来的。各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。如今软件供应链已经成为国内外对抗的焦点,直接影响关键基础设施和重要信息系统安全。尤其现在美国的禁运,SAST工具卡脖子的问题愈发明显。放眼国内,涉及代码安全分析产品的厂商凤毛麟角,能够做到真正自主研发的团队更是屈指可数,大多数所谓自主产品都是基于开源改造或国外产品封装,并没有自己的底层分析技术。究其原因,主要有以下五点: 01技术门槛高,多源自名校代码分析领域属于软件工程中编译的分支,应用了大量的编译算法,属于基础软件范畴。国内开设编译课程或软件分析的高校,只有北大、清华、中科院、港科大等几所知名高校,了解底层技术的人员更是凤毛麟角。横向来看,国外同类产品大多数产自于知名高校的长期积累,例如斯坦福大学的Coverity, 牛津大学的CodeQL等。  02人才要求高,知行合一是关键即使学习了编译课程,其分析算法的实现难度对于技术人员编程能力要求也是非常顶尖的,以鸿渐科技为例,底层算法的大多都是北大和中科院等知名高校计算机系的毕业生(算法和代码能力超强)多年研发的结果,并不是一个普通程序员通过努力就能掌握和实现的。 03研发时间久,企业考核周期短,缺乏长期主义一个实现了路径敏感、上下文敏感、对象敏感的代码分析核心引擎需要上百万行代码和多年的算法局部调优,这个是多年积累的成果,即使一篇顶会论文的原型,也只是突破了某个点,对于面上的突破也需要数年的积累,而任何一个企业的考核周期最多是一年、两年,国内的企业很难能够容忍一个部门在三到四年没有大的产出,还不解散的。 04兴趣爱好与金钱的抉择从以上三点可以看出来,一个代码分析工具需要具备高素质人才,通过长期不懈努力才能收获相对好的成果,天赋、兴趣、爱好、坚持和金钱缺一不可。在互联网金元经济大行其道的情况下,清北的本科毕业生,去互联网大厂轻轻松松年薪五十万起,博士更是动以百万,如果家庭条件一般,很难拒绝金钱的诱惑抑或是屈服于生活的压力,又有谁会在冰冷的基础软件方向默默耕耘?以鸿渐为例,核心人员都是学霸和学神级人物,家庭条件尚可,又在这个方向都是非常有兴趣的Geek(迷恋数学和ACM),聚集一群这样的人才确实可遇不可求。鸿渐的硕博比例更是高达60%以上,远高于多数安全大厂。 05抬头看天是一种方向,低头看路是一种清醒,好工具是被骂出来的产品经理和研发人员投入到一线去发现、去感知、去挖掘、去挨骂,通过上百家客户的试用交流,不断的总结提升,和客户一起成长,打磨出中国真正自己的SAST静态分析工具和SCA同源分析工具。 由此可见,代码分析工具并非几个人一时兴起的激情投入,也并非国外工具和开源工具加个壳儿就能解决问题,也并非商务推进低价中标抑或是铺天盖地的媒体宣传。是需要一批有情怀又不是那么差钱,高智商脸皮又足够厚,能持之以恒又靠谱的年轻人不断的去挑战、去征服。最后插播一广告,我们欢迎有梦想的年轻人加入,本科985计算机、软件工程相关专业,高考成绩630分以上,对算法感兴趣。如果能来个博士那就最好了! 也欢迎各甲方爸爸交流试用,多提问题和建议,只有都用上了国产测试工具,国产测试工具才能进步,才不至于因禁运而受制于人!

2021-11-01

天下没有免费的午餐,国产化替代迫在眉睫

SonarQube[1] 作为一款开源静态代码分析工具,在金融、互联网领域广泛应用,尽管其误漏报率和缺陷模式的更新,与商业工具相比具有一定差距,但其轻量级、与Devops快速集成、免费使用等特点受到了很多软件开发组织的青睐,仍然被很多用户选择其为研发安全的重要白盒检测工具。 为了方便大家的使用,甚至很多安全公司,将其作为底层封装中文化后成为”自主可控”代码分析工具,以相对商业工具更加低廉的价格在国内市场销售,但开源工具一定是安全的吗?有免费的午餐吗? 近日有媒体报道[2],黑客声称通过利用SonarQube零日漏洞对多家企业进行了入侵,窃取政府和企业源代码。2020年7月以来,来自互联网、金融、零售等领域的 50 多家知名公司内部软件源代码泄露,包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科技、GE家电、任天堂、Roblox、迪士尼、江森自控等知名公司,失去对互联网源代码的控制,就像把银行的蓝图交给劫匪一样。 由此,我们认为正在使用SonarQube的企业请做好系统管控源码服务器安全工作,在未明漏洞被修补之前请暂时离线使用或者删除源码。不过,依赖国外产品总归是治标不治本,国产化替代才是如今国际局势下中国各大行业防患于未然的必然选择。工信部2021三年规划中[3]明确给出了未来三年大力发展自主可控的软件代码分析工具。作为国内仅有的几家完全自主可控的商业代码分析技术研发厂商-鸿渐科技,将继续加大创新和研发力度,助力推进国产自主可控替代计划,构建安全可控的信息技术体系和安全可靠的代码分析服务。  参考:[1] https://www.sonarqube.org/[2] https://mp.weixin.qq.com/s/c6RpvvY5ihRKVmcAFeXGXg[3] https://baijiahao.baidu.com/s?id=1705177980853560205&wfr=spider&for=pc

2021-10-13

鸿渐科技:国内首家SAST、SCA两款产品同时通过CWE国际认证

继国内首家SAST、SCA两款产品同时通过麒麟软件NeoCertify认证后,鸿渐科技再次成为国内首家SAST、SCA两款产品同时通过CWE国际认证的安全企业。“CWE兼容”是国际上软件安全类产品最重要的标志之一。CWE(Common Weakness Enumeration,通用缺陷枚举),是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。“CWE兼容”以作为产品的重要等级标志被用户和管理人员所认可。像Klocwork、Coverity、LDRA Testbed、Fortify、Checkmarx等多家国际一线厂商及机构相关产品均进行了CWE认证。 鸿渐SAST源代码静态分析工具基于真正的自主研发,通过自主的专利程序分析引擎,采用了多种创新性静态分析技术,支持千万级代码量的检测,检测速度高达150万/小时;鸿渐研发团队融合多种框架分析,检测准确度远高于OWASP Benchmark基准测试行业平均值,可媲美国际同类顶尖产品,国内首创的漏洞可达性分析、片段代码检测等技术支持各种人性化设计,能够实现多业务场景下的特性需求。 鸿渐SCA软件成分分析工具独创的组件可达性分析关键技术可精准分析项目中有用且实际使用的组件列表,同时鸿渐SCA基于已知漏洞特征,利用漏洞“基因”提取技术,能够对具有相似“基因”的未知漏洞进行分析,真正帮您实现漏洞分析的举一反三。 鸿渐科技作为国内软件安全行业技术领先者,自主研发的SAST源代码静态分析工具及SCA软件成分分析工具,能够让用户实现更快速度、更高精度、更智能化、可视化的漏洞检测和定位及修复,让安全赋能到开发、测试、运营各个阶段,从安全源头解决根本性的安全风险,保障业务快速安全上线,实现真正意义上的安全左移。

2021-09-09

SAST和SCA为什么要同时使用?

2021-09-06

什么是SCA?(下)

2021-09-01

什么是SCA?(上)

2021-08-30

SAST工具分析原理(下)