近日，中国信息通讯研究院在2024全球数字经济年夜会—数字平安生态扶植专题论坛正式发布首期《数字平安护航手艺能力全景图》（以下简称全景图）。

比瓴科技入选软件供给链平安赛道“开辟流程平安管控、交互式平安测试、静态平安测试、软件成份阐发”，并位居DevSecOps范畴第一；笼盖数字平安办事赛道“平安意识与培训、渗入测试/众测、攻防练习训练、平安咨询与计划”。

中国信息通讯研究院（以下简称信通院）“数字平安护航打算”为助推中国数字经济高质量成长，助力数字中国扶植供给有力撑持，倡议了全景图的征集工作。比瓴此次入选双赛道，代表了信通院对照瓴平安产物和平安办事在数字经济市场成长中能力成熟度、手艺立异和行业进献的承认。比瓴愿插手“数字平安护航打算”，联袂信通院一路为数字平安进献气力，为数字经济的成长保驾护航。

开辟平安运营一体化解决方案（DevSecOps）

现今软件开辟的节拍日趋加速，但平安与效力并不是开云app不成统筹。比瓴科技DevsecOps咨询办事致力在将平安与效力连系，帮忙组织在实现软件产物快速交付的同时，确保软件平安性。

要挟辨认

经由过程不竭更新和扩大的资本库，帮忙项目组积极地辨认和提防潜伏的平安要挟，经由过程智能化的内容整合和易在搜刮的界面，快速获得所需的平安信息，有用地提高开辟进程的平安性和合规性。

态势治理

与SCA、SAST、IAST等开辟东西链无缝集成，与Git、Jenkins等开辟东西链无缝集成，延续辨认平安风险，对风险进行量化和优先级排序，晋升平安勾当的主动化程度，帮忙组织有用分派资本，处置最严重的平安问题。

延续优化

成立平安系统其实不断地改良和优化，在不牺牲开辟速度的条件下，提高利用的平安性，削减将来平安事务的产生。

瓴镜—软件成份阐发系统（SCA）

瓴镜SCA系统支持检测评估营业场景，经由过程智能化数据搜集引擎在全球规模内获得开源软件信息和其相干缝隙信息，操纵自立研发的开源软件阐发引擎为企业供给开源软件资产辨认、开源软件平安风险阐发、开源软件缝隙告警和开源软件平安治理等功能，帮忙用户把握开源软件资产信息，和时获得开源软件缝隙谍报，下降由开源软件带来的平安风险，保障企业交付更平安的软件。

基在保证理器的软件成份阐发手艺

开源软件辨认与阐发手艺：瓴镜SCA经由过程高主动化和高正确性的文件特点提取机摹拟构建阐发引擎，快速生玉成面且正确的组件清单，并阐发各组件的缝隙风险和许可证风险。

基在多链路的组件依靠阐发手艺

瓴镜SCA基在多链路的组件依靠阐发手艺，连系拟构建和开源数据核验，以图形化展现供给清楚直不雅的组件依靠关系图。

缝隙可达性阐发手艺

瓴镜SCA连系AST信息提取和开源组件常识库，切确阐发函数挪用链和位置，凭仗在国度级攻防练习训练中堆集的缝隙操纵法则库，可以或许清楚正确地判定组件的真实挪用环境和缝隙的可达性。

基在AI的凭证检测手艺

瓴镜SCA经由过程静态匹配法则、熵字符串检索和机械进修算法，综合检测利用法式中的敏感数据，有用辨认和庇护显式和隐式存储的凭证信息，以避免数据泄漏。

瓴域—平安开辟治理系统（SDLM）

平安开辟治理系统，旨在为客户供给同一的平安开辟全生命周期治理办事，帮忙客户成立起高效灵敏的开辟平安管控系统。平台买通项目和利用系统各阶段（立项、设计、开辟、上线/变动、运行）中平安管控和平安检测节点，进行平安开辟全流程整合，从而实现平安开辟管控全流程工作效力可看见、可治理、可晋升；同时平台操纵搜集到开辟进程中的履行数据，构成项目平安画像和利用平安画像，从各类维度综合揭示项目和利用平安开辟态势，为平安运营供给数据撑持。

瓴镜—源代码平安审计系统（SAST）

瓴镜-源代码平安审计系统是采取领先的源代码静态阐发手艺开辟的一款针对源代码缺点进行静态阐发检测的产物。它在对方针软件代码进行语法、语义阐发的手艺上，辅以数据流阐发、节制流阐发和独有的缺点阐发算法等高级静态阐发手段，可以或许高效的检测出软件源代码中的可能致使严重缺点缝隙和系统运行异常的平安问题和法式缺点，并正确定位告警，从而有用的帮忙开辟人员消弭代码中的缺点、削减没必要要的软件补钉进级，为软件的信息平安保驾护航。

瓴镜—交互式利用平安检测系统（IAST）

瓴镜交互式利用平安检测系统在利用上线前必不成少的平安东西，专门用在发现潜伏的平安风险。其最年夜的特点在在采取了一种怪异的“被动插桩模式”，这意味着它不会对正在运行的系统或利用法式发生任何关扰或发生没必要要的数据。用户在利用时，只需经由过程简练的治理界面进行项目设置装备摆设，系统便会主动最先对利用法式的数据流进行阐发。这类阐发是及时的，可以或许在利用法式运行时捕获到任何可疑行动或缝隙。一旦检测到潜伏的平安缝隙，系统会当即向用户发出警报，并为用户供给具体的缝隙信息息争决方案。

对开辟团队来讲，这个东西不但仅是发现缝隙，更是修复缝隙的利器。系统会供给一个已验证的缝隙列表，这些缝隙都是颠末系统严酷检测并确认存在的。开辟人员可以按照这个列表，及时修复代码中的问题，确保利用法式的平安性。

平安培训办事

平安培训办事面向开辟人员、测试人员和治理人员等脚色，帮忙他们领会利用平安的根基原则、最好实践和常见要挟，提高整体平安意识和技术程度。

渗入测试办事

渗入测试办事经由过程摹拟真实进犯者的进犯行动，发现利用法式中存在的平安缝隙和弱点，帮忙组织辨认和修复潜伏的平安风险，增强利用法式抵抗歹意进犯的能力。

攻防练习训练和紫队办事

攻防练习训练和紫队办事经由过程摹拟实战进犯和戍守的体例，发现组织存在的治理、手艺方面的平安问题，提高组织整体平安扶植程度。

平安开辟成熟度评估咨询

平安开辟成熟度评估咨询办事帮忙组织客不雅评估平安开辟成熟度程度，经由过程量化数据领会平安开辟近况和对应的成熟度程度，为补齐平安开辟短板和成熟度晋升做好预备。

平安开辟成熟度晋升咨询

平安开辟成熟度晋升咨询办事帮忙组织晋升平安开辟成熟度程度，确保开辟进程落实平安节制办法，下降平安风险，提高软件质量。

APP平安认证咨询

比瓴科技按照GB/T 35273《信息平安手艺小我信息平安规范》帮忙组织晋升本身能力，经由过程中国收集平安审查认证和市场监管年夜数据中间（CCRC）的移动互联网利用法式（App）平安认证。

DevSecOps认证咨询

比瓴科技按照YDT 3763.6-2021《研发运营一体化（DevOps）能力成熟度模子第6部门：平安和风险治理》（DevSecOps）帮忙组织晋升本身能力，经由过程中国信息通讯研究院的DevSecOps能力成熟度评估。

比瓴科技专注在软件供给链平安范畴，以AI和数据为焦点供给笼盖全场景的软件供给链平安产物和平安咨询办事。买通利用平安数据孤岛，实现平安运营进程主动化，加强利用软件资产风险可视性，为软件平安保驾护航。

“具体内容见官网：比瓴科技”。