中望CAD平台软件-产品介绍

2024-06-24 17:42:31

适用于:Windows 商品简介:1.中望CAD平台软件;2.中望机械CAD设计软件;3.中望建筑CAD设计软件。 商品亮点:一款高效率、运行稳定、授权灵活,完全兼容其他CAD软件图纸的CAD绘图软件 商品说明 版本: V2022 交付方式: License 适用于: Windows 上架日期: 2022-07-20 02:08:16.0 查看详情

云资源运维与配置分析-产品介绍

2024-06-24 17:15:30

适用于:Windows/Linux 商品简介:云资源监控、云资源问题分析与协助解决 商品亮点:云服务多年运维经验 商品说明 版本: V1.0 交付方式: 人工服务 适用于: Windows/Linux 上架日期: 2023-06-21 11:27:59.0 服务方由经验丰富的高级运维经理提供云资源的运维和配置建议,包括如下内容: 弹性 云服务器 :协助弹性云服务器安全组配置检查、规格合理性分析与调整建议、漏洞分析与处理、云端监控参数配置建议; 云数据库 :安全组配置建议、 数据库 运行参数分析与建议、云端监控参数配置建议; 对象存储服务 :存储策略、存储ACLs配置、存储CORS规则、防盗链等配置建议,资源包使用情况分析与建议; 文档数据库服务 :规则优化建议、安全组配置建议、云端监控参数配置建议; 分布式缓存服务:安全组或白名单配置分析与修改完善建议、云端监控配置建议; 弹性负载均衡 器: 负载均衡 器配置建议、端口选择安全性建议、白名单配置安全建议,云端监控参数配置建议; 标准服务稳定与高级服务内容区别如下: 服务规格 服务对象 输出成果 服务方式 标准服务 商品说明中3种云资源的配置分析与建议 运维建议报告.pdf 按次 高级服务 商品说明中所有云资源的配置分析与建议 运维建议报告.pdf 按次 查看详情

WEB系统漏洞扫描-产品介绍

2024-06-24 17:15:28

适用于:Windows/Linux 商品简介:对WEB应用系统进行 漏洞扫描 和人工安全测试等工作,输出对应的扫描测试报告,比提出相应的修改意见。 商品亮点:更深层次的安全检测,快速响应与成果交付 商品说明 版本: V1.0 交付方式: 人工服务 适用于: Windows/Linux 上架日期: 2023-06-08 09:44:58.0 服务功能:通过对WEB版业务系统应用层进行漏洞扫描进行安全分析并生成漏洞扫描安全报告。 扫描范围包括但不限于:信息泄露、配置安全隐患、SQL注入漏洞、XSS注入漏洞、XPATH注入漏洞、HPP漏洞、HTTP响应分割等常规漏洞以及各种系统漏洞、协议漏洞、Web应用漏洞、网站框架类漏洞等通用漏洞,如 建站 服务器、内容管理系统、网页编辑系统、电子邮件系统、办公自动化系统漏洞、建站语言漏洞等。 漏洞扫描能发现漏洞,扫描的结果能用来支撑漏洞评估、漏洞修补、风险评估相关工作,以降低系统安全性的风险。 根据漏洞扫描结果,形成一套完整的安全报告,针对漏洞的严重性,将漏洞分为:高危、中危和低位三个级别,并给出漏洞修复的解决方案。 为避免利用本 漏洞扫描服务 进行黑客攻击,漏洞扫描前需要对网站所有权进行认证(将授权文件放置于应用服务器更目录下)。 基础版说明如下: WEB应用复杂度 第三方开源组件 计费方式 基础版 调用后端接口少于500个 前端页面少于50个 不进行扫描 按次 查看详情

驿商高速公路服务区商业综合管理软件-用户案例

2024-06-24 17:14:32

浙江交通投资集团实业发展有限公司项目 2014年,我司与浙江交通投资集团实业发展有限公司达成合作意向,为旗下40余对服务区进行系统实施工作。经过多年的经验积累及技术升级,系统运行稳定并取得业主单位的一致好评。2014年底,"浙江高速驿网综合管理系统项目"获得浙江企业信息化大会唯一一个"项目创新奖"。 四川交投蜀越高速公路服务区经营管理有限公司项目 基于我司产品在浙江取得的良好商业管理成果,四川交投蜀越高速公路服务区经营管理有限公司于2014年底与我司达成合作意向,完成交投蜀越综合管理平台的开发,并先后在旗下30余对服务区完成系统实施工作。2017年,交投蜀越公司引入收银稽核联动系统,极大地提高了监管力度,实现高收益增长。 广西北部湾恒信资产经营有限公司项目 2016年底,我司产品进入广西北部湾恒信资产经营有限公司,先后完成了数据校验模块、财务报销模块、进销存调模块、销售数据分析模块的部署及应用。目前,系统已正式投入旗下的大塘服务区、黄乌屯服务区、石滩服务区、石湾服务区、铁山服务区、防城服务区、寨圩服务区、张黄服务区、浦北服务区及东兴服务区使用,获得业主公司的高度赞许。 江西恒辉物业有限责任公司项目 2017年初,江西恒辉物业有限责任公司正式启用我司产品,我司积极配合先后完成了收银稽核、数据校验、商品信息管理等系统实施部署工作,目前共有7对服务区正在使用,取得的监管效果较好,省内其他服务区亦陆续表示合作意向。 贵州亨达公司项目 2015年,我司在贵州虾子服务区完成系统实施工作。截止目前,系统已成功稳定运行近4年,取得较好的商业管理效果。2017年7月,我司实施团队配合完成贵州另一对服务区——铜仁服务区的系统实施工作。 温州绕城高速公路西南线有限公司项目 2017年底,我司产品进入温州绕城高速公路西南线有限公司,迈出了拓宽业务的一大步。在陶山服务区成功完成收银系统、结账数据校验、合同签约管理及销售数据分析等系统的实施工作。目前,陶山服务区系统运行稳定,数据传输正常,业主单位对系统的监管效果颇为满意。 查看详情

驿商高速公路服务区商业综合管理软件-产品介绍

2024-06-24 17:14:32

适用于:Windows 商品简介:基于省份服务区的运管战略目标、业务布局、管理模式和管控体系,通过物联网和互联网技术,形成“数字化、规模化、智慧化”的服务区的运建管综合服务平台。 商品亮点:实时管控、资源统筹,统一规划、统一品牌、统一运营,个性化报表定制,全方位掌控各业态经营数据 商品说明 版本: V4.0 交付方式: License 适用于: Windows 上架日期: 2019-09-27 10:20:09.0 一、系统概述   驿商高速公路服务区商业综合管理软件是基于省份服务区的运管战略目标、业务布局、管理模式和管控体系,通过物联网和互联网技术,形成“数字化、规模化、智慧化”的服务区的运建管综合服务平台;对多条路段服务区实行统一运营监管、统一招商投资、统一供配送调、智能预警预测、人车流群分析,降低企业管理成本,提升盈利空间。使信息化渗透到服务区人、财、物、知识等方方面面,实现服务区投资经营管理数字化,提升服务区运营效率。综合管理服务平台由综合办公管理、商业经营管理、合作商户服务、移动业务管理、公众服务管理、统一总仓管理、商业会员服务七大模块组成,涉及服务区运营过程中的经营、办公、服务、监管、客户关系等各类应用需求。 二、系统特色   高效:电子化流程管控、历史痕迹全保留、提高人工效率   监管:营收数据统一采集、稽核实时监管、异常数据智能获取   智能化:智能智能预警信息推送、AI智能学习模板、 云计算 数据服务 三、系统核心理念   商业经营闭环:实现从经营合同签约至截止期间,所有经营数据的监管及记录,并按合同约定拆分营收获取应收款项。   日常业务闭环:实现服务区各类日常采购、预算、销售业务相关行为的管控及数据协助。   商品物资闭环:打通门店、总仓、供应商的全数据通道,实现从门店销售、库存预警、请购需求至配送完成的整体流程全监控。 查看详情

雳鉴SAST静态应用安全检测系统-用户案例

2024-06-24 17:14:31

制造行业-某大型民营企业 案例背景 该公司是一家专注于健康饮食电器研发、生产和销售的上市企业。随着时代的变革,家电已经成为物联网时代的家电独角兽,成为人们生活中的一部分,家电也越来越智能。家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大,更多的是在安全开发过程中去解决,就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。 客户需求 •缺乏安全测试流程和规范,研发团队在业务自查中存在规范的安全测试及验证流程,但仅靠安全人员的参与在落地中存在一定的困难; •安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证; •软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。 部署场景 通过默安雳鉴开发安全解决方案在研发过程中使用,全面检测高危风险行为。 方案价值 •在开发测试环节中建立安全测试环节,取代了人工渗透环节,帮助该企业在开发过程中快速发现漏洞、查出安全问题,做到漏洞低误报,降低了安全技术的门槛,做到软件安全真正自主可控。 •建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业务安全自查需求,达到真实业务需要。 •技术支持快速响应,在安全测试环节,技术团队的安全服务非常到位,出现问题第一时间响应,得到开发部门及安全部门的认可。 电力行业-某大型国企 案例背景 该企业是一家面向电力系统提供专业的电力行业信息化及通信应用解决方案、产品和服务的综合企业。公司服务行业涵盖电网、电厂、金融等多个行业。如此规模的研发团队里,在测试开发的安全检查中之前是没有任何规范的技术手段和流程去保证项目的安全性的。 客户需求 •该企业项目主要面向电力类能源行业,这几年业务猛增,由于能源属于国家关键信息基础设施之一,这些上线的业务一旦发生网络安全事件,会直接影响行业的正常运行,对国家经济、社会等造成严重损失。信息安全在能源行业的监管和合规要求上,非常高。软件开发安全是信息安全的重要环节之一,也是业务上线前必要的一环,企业面临的安全责任也与日俱增。 •研发团队存在大量的安全测试及验证需求,但安全技术的要求门槛高,以往在开发工作和教育体系中缺乏在开发安全方面的知识,导致安全性在开发环节存在一定的困难,需要一套流程化的工具能降低安全测试的门槛,有效帮助研发团队自主的落地安全测试工作,减轻安全人员的工作压力。 •安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证; 部署场景 通过默安雳鉴开发安全解决方案在研发过程中使用,全面检测高危风险行为。 方案价值 •通过雳鉴在开发测试环节中建立安全测试环节,有效的在工作环节形成安全闭环,满足了研发团队自主安全测试需求,降低安全技术规范的合规门槛,得到开发部门及安全部门的认可。 •降低了安全测试的难度,通过雳鉴就能快速的发现漏洞、定位安全风险,细化了安全部和各研发团队的安全分工,节约了人力成本和沟通成本,提高了工作效率。 •在安全测试的广泛度、实测漏洞低误报及安全风险的可视化方面,实际解决了很多安全问题,获得客户的一致认可。 查看详情

雳鉴SAST静态应用安全检测系统-产品介绍

2024-06-24 17:14:31

适用于:Linux 商品简介:在不改变当前研发流程和组织架构的前提下,与代码仓库(如SVN/GIT)无缝对接,实现开发阶段的代码安全漏洞生命周期闭环管理,以最小的代价帮助企业和组织实现源代码安全的自动化检测 商品亮点:零成本对接研发流程,减少项目沟通成本,全面细致的风险检查,形成DevSecOps解决方案 商品说明 版本: V1.0 交付方式: 镜像 适用于: Linux 上架日期: 2022-10-26 08:25:09.0 1 产品架构 雳鉴SAST核心部分由云端安全管理平台,代码安全分析引擎,代码仓库监控引擎,数据存储中心,代码漏洞知识库等组成。 云端安全管理平台负责项目代码安全检测的统一管理,代码分析检测引擎的检测策略,漏洞生命周期的闭环管理,代码审计,报告输出以及与代码版本管理系统对接;代码仓库监控引擎负责拉取用户代码仓库中的代码,实时监控代码仓库的变化情况,获取代码相关信息;代码分析检测引擎负责源代码的安全分析检测,软件成分的识别与安全检测;数据存储中心负责保存用户数据;代码漏洞知识库负责存储漏洞详情,漏洞等级,漏洞样本,修复建议,代码示例等基础数据信息,协助开发人员修复漏洞。 2 产品组成与结构 雳鉴SAST由项目管理模块,风险管理模块,风险扫描模块,软件成分管理模块,系统管理模块五个大模块组成。项目管理模块负责代码安全检测与统一管理,项目包含详情、模块管理列表和扫描任务列表,可在任务中设置代码分析引擎的相关检测策略;风险管理模块包含对安全漏洞、代码规范风险、软件成分风险的生命周期闭环管理,从漏洞发现、确认、修复、复检,覆盖漏洞生命周期的各个环节;风险扫描模块负责对源代码进行分析,进行安全检测;软件成分管理模块负责对项目中扫描出的软件成分进行分析统计及管理;系统管理模块负责账号权限、报表、安全组件、日志审计、 消息通知 、系统配置等相关管理策略。 2.1 项目管理模块 项目管理模块可根据项目/模块/任务维度进行管理,包括新建项目,项目列表展示。 单个项目中包括项目详情展示,模块管理列表展示,扫描任务列表展示以及扫描任务创建。 新建项目功能支持修改项目名称及项目成员; 项目列表支持展示归属人,模块数,扫描任务数、漏洞修复占比等信息; 项目详情项目包括基础信息展示,图表分析,风险列表展示,软件成分列表展示等功能,支持安全软件开发流程管理,包括单项目整体安全情况,关注安全漏洞的收敛情况,同时可反映产品迭代过程中安全问题的爆发和修复趋势,且支持与第三方devsecops工具链对接; 模块管理列表支持展示仓库地址(代码标签)、风险等级、各类风险数量等,可查看单模块详情中各任务比对详细信息,支持设置模块定时扫描; 注:模块展示的信息为同地址(获取代码方式为:GIT/SVN /TFS/MERCURIAL)的任务比对信息或同标签(获取方式为:上传代码)的任务比对信息。 扫描任务列表支持展示仓库地址(代码标签)、风险等级、各类风险数量等,可查看单任务详情,包含扫描代码行数、千行代码漏洞数、任务动态等; 新建扫描任务功能,支持任务代码仓库SVN/GIT/TFS/Bitbucket地址的测试,或通过上传文件创建任务。可设置扫描的语言类型,可设定单任务扫描时长,可选择检测的漏洞类型,对代码进行针对性安全检测。同时支持选择自定义检测模板进行专项项目检测(无需多次配置同类项目扫描参数)。 2.2 风险管理模块 风险管理模块包括风险统计概述,风险图表分析,风险详情、风险列表以及通用安全组件等功能,提供对漏洞生命周期的全流程管理,包括漏洞的自动发现,漏洞详情,漏洞重新检测,漏洞确认,漏洞分享等功能。 风险统计概述展示项目总数,扫描的代码行数,风险数,未修复风险数; 风险图表分析包含风险Top5项目,千行代码漏洞数Top5,重现漏洞类型Top5,项目修复漏洞数Top5,项目漏洞修复率Top5; 风险详情包括展示风险基本信息,风险描述,修复建议,代码示例,风险回溯,帮助研发人员定位问题; 风险列表包括展示项目名称,代码位置、风险类型、所属语言等信息,以及风险操作,包括进行风险分享,查看风险详情,风险忽略,批量忽略或恢复处理; 支持一键同步漏洞至JIRA和禅道。 2.3 风险扫描模块 雳鉴SAST漏洞检测模块目前支持JAVA/PHP/Python/C/C++/C#语言代码安全检测,支持设定代码被扫描语言类型,可检测漏洞种类包括SQL注入,跨站脚本,命令执行,反序列化等292个大类,3500多条漏洞检测策略,同时包括软件成分安全检测,和数万条开源组件漏洞检测策略。 雳鉴SAST漏洞检测兼容以下3个国际标准或规范: CWE(Common Weakness Enumeration):常见漏洞列表,是继CVE之后的又一个安全漏洞词典。CWE 为程序员和安全从业者提供了一个有条理的软件漏洞类型库。CWE 旨在让人们更好地理解软件缺陷并创建能够识别、修复以及阻止此漏洞的自动化工具。 OWASP TOP 10:开放式 web 应用程序安全项目十大安全漏洞列表,是 OWASP 最重要的项目之一。OWASP TOP 10 不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。 CWE/SANS TOP 25 Most Dangerous Software Errors:CWE/SANS 25种最危险的编程错误,是很多顶级软件安全专家共同合作的成果。CWE/SANS TOP 25 可以帮助程序员编写更安全的代码,帮助用户衡量软件是否安全。 2.4 软件成分管理模块 软件成分管理模块包含软件成分列表、依赖检测。 软件成分列表包括软件成分信息统计,软件成分图表分析,软件成分风险,软件成分列表以及软件成分详情等功能,提供对软件成分的管理,包括软件成分详情,分享,报告导出,一键重新检测等功能。帮助项目管理者把控第三方组件使用情况和最新安全风险,督促研发人员及时更新或者修复软件成分带来的相关安全风险。 软件成分信息统计包括支持展示总软件成分数,涉及项目数,风险软件成分数; 软件成分图标分析包括软件成分使用数量Top5,软件成分风险等级分布,开源许可证分布TOP10,开源许可证风险等级分布可视化呈现; 软件成分风险包含库名,风险等级,所属语言,风险类型,当前版本号,最新版本号,开源许可证,所属项目等信息; 软件成分列表展示软件成分详细列表,支持一键重新检测并根据漏洞名称进行搜索,在新漏洞公布后帮助企业确认受影响的第三方组件,完成1day响应; 软件成分详情包括软件成分基础信息,漏洞列表,引用位置,所属项目等。软件成分漏洞列表包含漏洞的详细信息,帮助研发人员快速定位安全问题,及时更新软件成分。 依赖检测页面支持用户搜索第三方库包含的漏洞信息。 2.5 系统管理模块 系统管理模块包括系统信息,账号管理,报告管理,消息通知,网络测试,系统升级,依赖包配置,自定义配置,日志审计,帮助中心等功能,帮助系统管理者更清晰的了解漏洞情况和更方便的使用系统。 系统信息帮助使用者实时关注雳鉴平台使用情况,包括CPU占用率,网络带宽情况,内存使用率等; 账号管理功能帮助项目管理员将项目的安全问题分配给相应的研发人员进行确认和修复,从而在企业IT部门内部建立起一套完整的安全测试流程,不同的用户可于管理页面直观清晰了解所有项目的漏洞情况,契合软件开发流程中的人员角色分配; 报告管理支持生成并下载多种格式的项目安全检测报告,模块安全检测报告,任务安全检测报告,软件成分信息报告等; 系统升级功能支持通过离线升级包快速升级,实时专人在线保证雳鉴平台升级; 依赖包配置功能支持用户上传任务所需依赖包,配置nexus仓库,以提升任务的扫描效果; 系统自定义支持用户自定义上传LOGO、编辑页面关键词信息及权限设置等;扫描模板自定义支持用户自定义配置扫描模板,以便于单项目或单语言的专项扫描;风险自定义功能支持用户自定义风险详情,以适用于企业内部的安全代码体系; 日志审计功能支持对雳鉴SAST用户的操作日志做存储记录,以便后续对日志进行审计,帮助系统管理人员发现异常操作,及时处理; 网络配置和系统配置功能让雳鉴平台可根据各种业务环境调整配置,适应各种网络环境。 3.1 与开发流程整合 雳鉴SAST支持通过本地上传代码检测,支持SVN/GIT/TFS/Bitbucket等代码仓库源代码检测,支持对代码仓库中的代码进行不同时段的安全体检,并自动聚合同地址(或同标签)任务生成比对信息,实时反馈至雳鉴SAST云端安全管理平台,根据代码位置,代码提交人和数据流调用关系,代码示例等,帮助研发人员定位问题,及时修复漏洞。 在不改变原有的研发流程情况下,无感知的对代码仓库进行安全检测,最大限度的减少研发人员的额外工作量,完美融入研发流程,全面覆盖研发人员在编码中和编码后的安全问题。如图3所示: 3.2 漏洞生命周期管理 雳鉴SAST云端安全管理平台提供漏洞生命周期闭环管理,从漏洞发现,漏洞详情,漏洞确认,漏洞修复,到漏洞重新检测,覆盖漏洞从产生到被正确修复的各个阶段,保证安全问题完全闭环,同时提供漏洞描述,修复建议,缺陷代码示例,正确代码示例,程序控制流展示,漏洞代码详情等漏洞详细信息,帮助开发人员更快的理解漏洞和修复漏洞,减少安全人员与开发人员的沟通成本,开发人员自己就可以完成漏洞修复。 3.3 软件成分管理 雳鉴SAST支持对任务中的软件成分进行检测,提供对软件成分的管理,包括软件成分的风险等级、所属项目、版本号、开源许可证等详细信息,并且可于列表一键重新检测,同时提供软件成分漏洞的详细信息,支持展示软件成分在不同项目中的引用信息,软件成分图表分析包括软件成分风险等级、使用情况、开源许可证、版本状态等信息的可视化展示,支持软件成分的分享及报告导出等操作。 管理者可以在雳鉴SAST云端管理平台上对软件成分进行可视化管理,把控项目使用软件成分的整体使用情况和相应的安全问题。 3.4 报告与报表管理 雳鉴SAST支持自动对源代码安全问题进行分析,可输出项目报告、模块报告、任务报告。 查看详情

幻阵-蜜罐威胁检测系统配套服务-用户案例

2024-06-24 17:14:29

运营商案例 客户简介:该客户目前员工总数超过2万人,总资产规模超过745亿元,年运营收入超过420亿元,客户总数突破5400万户,规模位居中国移动集团内各省公司前列,是全集团的标杆企业 业务挑战:客户的云平台常常面临着攻击者不同手法的攻击,面对恶意攻击的检测压力也不断加大,同时客户也希望提高未知恶意攻击监测、攻击事件溯源、有效获取攻击者信息的技术专业性能力。 解决方案:默安科技为客户部署拥有攻击欺骗、设备指纹、多网融合、 威胁检测 、攻击溯源、人机识别等多种专有技术的幻阵系统,为客户的云平台现有业务稳定运行和云平台业务拓展保驾护航,同时按照客户自身需求对沙箱内容自定义, 仿真多套与客户自身一样的业务系统。 方案价值:幻阵系统在客户云平台原有的安全基础措施之上,帮助客户从“被动防御”转变到“主动防御”,提升对恶意攻击的检测能力,并对现网监控设备提供相应的差距分析,指导客户对真实服务器加固,为应急响应争取宝贵时间。 客户反馈:经过周密的市场调研,科学严谨的评测和对比,选择默安科技作为欺骗防御技术服务的提供商,正是基于默安科技在该领域领先的技术和成熟的产品。 查看详情

幻阵-蜜罐威胁检测系统配套服务-产品介绍

2024-06-24 17:14:29

适用于:Windows/Linux/其他 商品简介:幻阵是默安科技首创的一款基于攻击混淆与欺骗防御技术的高级威胁检测防御系统。系统从攻击者视角出发,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知并溯源黑客攻击的行为。 商品亮点:基于行为的高级威胁狩猎,黑洞级攻击引力场,业界领先的沙箱云市场,高度灵活自定义的乐高式沙箱 商品说明 版本: V3.2.2 交付方式: 人工服务 适用于: Windows/Linux/其他 上架日期: 2023-04-25 10:16:32.0 幻阵是默安科技首创的一款基于攻击混淆与欺骗防御技术的高级威胁检测防御系统,利用欺骗防御技术,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知黑客攻击的行为,将攻击隔离到幻阵的云蜜网系统,从而保护企业内部的真实资产,记录分析攻击行为,并结合攻击反制和攻击溯源精确获取黑客的网络身份和指纹信息,以便对其进行攻击取证和溯源。 幻阵基于攻击者视角,设计各个攻击攻击场景;基于kill chain模型,在各个阶段精密设陷布防;基于att&ck框架,精准匹配攻击者采用的攻击战术;基于行为分析,感知一切已知和未知的攻击手法。幻阵旨在当前攻防不对称的形势下,以欺骗防御的思路拖延攻击者的攻击时间、混淆攻击者的攻击思路、打击攻击者的攻击信心,最终为防守方争取防御时间甚至反击的机会。 1.智能化蜜网 将资产服务感知能力,融合进欺骗防御,实现自适应周边业务环境,根据多个维度的数据信息统计测绘,加以安全算法编排,将欺骗服务高度贴合真实业务环境,让攻击者无感知落入欺骗蜜网;同时通过自动化编排、一键部署,让蜜网达到变幻莫测的效果,大大减少人工运营成本,真正实现快速、自动化智能部署。 2.乐高式沙箱 幻阵将沙箱与服务拆分,把服务、端口、IP作为组成沙箱的基础资源,可选择一个或多个服务进行自由组合,沙箱具备了无限的排列组合可能性,用户可自由构建,避免了攻击者对沙箱的标记行为,以及受沙箱类型限制导致场景化较少的问题。 3.沙箱插件化 沙箱新增、删除与幻阵系统完全剥离,用户可将沙箱视为插件,更新沙箱如更新插件一样方便快捷;用户可灵活定制沙箱服务镜像,自定义沙箱内容、类型、甚至是检测逻辑等等,在降低沙箱制作成本的同时,极大程度地提高了沙箱的可操作性。沙箱插件化后,得益于智能蜜网可根据最新漏洞快速制作蜜罐,自动生成沙箱,一键关联服务,以极低成本推送到企业各个覆盖点进行应急检测响应。 4.溯源反制 基于设备指纹、社交ID技术,识别攻击者设备,获取攻击者手法、社交ID等信息,帮助企业溯源攻击者,建立防御体系的威慑性。幻阵中的攻击反制技术,通过多种反向控制手段对攻击者建立画像,做到最高级别的溯源,反制支持Windows、MacOS、Android,覆盖更全面,伪装更隐蔽,是构建主动防御。 5.沙箱云市场 幻阵转为欺骗防御底座,云市场几百个高交互沙箱,是默安科技在历年攻防演练中积累沉淀的攻击者感兴趣的沙箱,用户可从幻阵产品中进入云市场页面,一键新增沙箱,构建场景化,将欺骗防御领域的沙箱类型从数十个,拓展到数百个。 6.攻击不落地 通过默安科技团队维护云上沙箱服务和场景化,在云下企业内部署中继节点、伪装代理等,将攻击流量转发到云上,有效避免逃逸风险。同时,云化后的欺骗场景更为丰富,默安提供的响应更新服务更加及时。 7.黑客情报联动体系 通过幻阵集中管理平台、情报中心联动默安科技刃甲、剑幕、幻阵-中继节点、幻阵-伪装代理等产品和组件,全面覆盖互联网侧和内网侧部署场景,做到全企业场景的欺骗感知与自动化响应,牵一发而动全身,一旦黑客被捕捉到情报,企业全欺骗防御体系立即进行响应,形成企业全场景覆盖的默安科技欺骗防御全景图。 查看详情

STAC威胁建模分析系统咨询服务-用户案例

2024-06-24 17:14:28

国内某大型券商 客户情况: 该客户成立于1999年,是中国证券行业长期、持续、全面领先的综合金融服务商。作为证券行业的核心企业,极具行业特性,产品体量十分庞大, 该客户一直以来对我司产品十分信赖,双方有密切的业务合作。与客户深度交流后,我们了解到客户的项目团队缺少安全人员,安全需求完全依靠 各个核心团队成员的研发经验、测试经验得出。不同项目组之间没有统一的安全需求标准,也无法互通沉淀知识库。 规划思路: 准备阶段: 1.完成项目规划和启动 2.完成项目采购相关工作 3.完成双方需求明确 部署调研阶段: 1.完成STAC部署 2.安全管理访谈、开发安全访谈、安全工具访谈 培训&文件编写: 1.SDL开发安全培训(安全意识,安全需求等) 2.开发安全管理制度建设、开发安全规范建设、开发安全管理细则建设 项目试点: 1.投行簿记 2.电子商务网站 3.移动中台项目试点 验收阶段: 1.通过上线验收,完成相关的验收文档并交付 2.完成项目结项报告,总结会 产品效果: 通过专家服务+产品的方式,搭建覆盖全业务场景的知识库,统一安全需求、安全设计标准,实现了安全需求的标准化、自动化输出; 安全从需求分析阶段开始介入,提早发现并解决安全漏洞问题,防止业务系统带病上线带来损失。对于发现的漏洞或缺陷,记入知识库进行沉淀; 完善了开发安全相关标准、管理制度、规范等,通过工具使用、开发安全技术等培训提升了项目经理、研发、测试的安全意识和安全能力。 查看详情

STAC威胁建模分析系统咨询服务-产品介绍

2024-06-24 17:14:28

适用于:Windows/Linux 商品简介:STAC产品通过在需求与设计阶段,分析项目场景与软件架构,自动化辨别可能存在的威胁,提出需求,在设计之初就考虑安全问题,小成本解决安全风险,本服务为该产品配套咨询服务。 商品亮点: 威胁闭环管理,沉淀安全架构,研发与测试阶段联动 商品说明 版本: V1.0 交付方式: 人工服务 适用于: Windows/Linux 上架日期: 2022-07-22 08:46:05.0 产品架构图 知识库关联图 数据关系分析实例 银行业解决方案逻辑拓扑 功能特色: 问卷式场景与架构调研 以问卷形式对项目中涉及到的合规要求、需求场景、设计架构、中间件、对外暴露面、系统重要级别等信息进行调研,为后续威胁分析和安全需求提供输入。 场景化威胁分析 对项目所涉及的业务场景进行多维度威胁评估,输出安全威胁模型、安全需求建议、需求落地方案、需求验证方案等一系列解决方法,完成从威胁发现到需求验证的闭环流程。 自定义威胁管理 针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案的自定义功能,让平台可由用户手动扩展和定义,使平台更加匹配企业自身业务。 产品优势: 威胁闭环管理 用户可跟踪威胁的处理流程,从威胁提出到安全需求验证,提供威胁的全流程闭环管理。 沉淀安全架构 项目安全分析可视化呈现,自动化挖掘项目之间同类潜在威胁和安全需求,将公共威胁抽象为顶层安全架构设计,不断沉淀企业自身的安全架构。 研发与测试阶段联动 一键联动雳鉴SAST和雳鉴IAST,在研发阶段和测试阶段针对雳鉴STAC平台提出的威胁与安全需求进行高准确性的自动化验证,做到真正的自动化闭环。 业务价值 查看详情

幻阵-蜜罐威胁检测系统配套服务(HCS版)-用户案例

2024-06-24 17:14:27

运营商案例 客户简介:该客户目前员工总数超过2万人,总资产规模超过745亿元,年运营收入超过420亿元,客户总数突破5400万户,规模位居中国移动集团内各省公司前列,是全集团的标杆企业 业务挑战:客户的云平台常常面临着攻击者不同手法的攻击,面对恶意攻击的检测压力也不断加大,同时客户也希望提高未知恶意攻击监测、攻击事件溯源、有效获取攻击者信息的技术专业性能力。 解决方案:默安科技为客户部署拥有攻击欺骗、设备指纹、多网融合、威胁检测、攻击溯源、人机识别等多种专有技术的幻阵系统,为客户的云平台现有业务稳定运行和云平台业务拓展保驾护航,同时按照客户自身需求对沙箱内容自定义, 仿真多套与客户自身一样的业务系统。 方案价值:幻阵系统在客户云平台原有的安全基础措施之上,帮助客户从“被动防御”转变到“主动防御”,提升对恶意攻击的检测能力,并对现网监控设备提供相应的差距分析,指导客户对真实服务器加固,为应急响应争取宝贵时间。 客户反馈:经过周密的市场调研,科学严谨的评测和对比,选择默安科技作为欺骗防御技术服务的提供商,正是基于默安科技在该领域领先的技术和成熟的产品。 查看详情

幻阵-蜜罐威胁检测系统配套服务(HCS版)-产品介绍

2024-06-24 17:14:26

适用于:Windows/Linux/其他 商品简介:幻阵是默安科技首创的一款基于攻击混淆与欺骗防御技术的高级威胁检测防御系统。系统从攻击者视角出发,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知并溯源黑客攻击的行为。 商品亮点:基于行为的高级威胁狩猎,高度灵活自定义的乐高式沙箱,黑洞级攻击引力场,业界领先的沙箱云市场 商品说明 版本: V3.2.2 交付方式: 人工服务 适用于: Windows/Linux/其他 上架日期: 2023-04-25 10:24:36.0 幻阵是默安科技首创的一款基于攻击混淆与欺骗防御技术的高级威胁检测防御系统,利用欺骗防御技术,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知黑客攻击的行为,将攻击隔离到幻阵的云蜜网系统,从而保护企业内部的真实资产,记录分析攻击行为,并结合攻击反制和攻击溯源精确获取黑客的网络身份和指纹信息,以便对其进行攻击取证和溯源。 幻阵基于攻击者视角,设计各个攻击攻击场景;基于kill chain模型,在各个阶段精密设陷布防;基于att&ck框架,精准匹配攻击者采用的攻击战术;基于行为分析,感知一切已知和未知的攻击手法。幻阵旨在当前攻防不对称的形势下,以欺骗防御的思路拖延攻击者的攻击时间、混淆攻击者的攻击思路、打击攻击者的攻击信心,最终为防守方争取防御时间甚至反击的机会。 1.智能化蜜网 将资产服务感知能力,融合进欺骗防御,实现自适应周边业务环境,根据多个维度的数据信息统计测绘,加以安全算法编排,将欺骗服务高度贴合真实业务环境,让攻击者无感知落入欺骗蜜网;同时通过自动化编排、一键部署,让蜜网达到变幻莫测的效果,大大减少人工运营成本,真正实现快速、自动化智能部署。 2.乐高式沙箱 幻阵将沙箱与服务拆分,把服务、端口、IP作为组成沙箱的基础资源,可选择一个或多个服务进行自由组合,沙箱具备了无限的排列组合可能性,用户可自由构建,避免了攻击者对沙箱的标记行为,以及受沙箱类型限制导致场景化较少的问题。 3.沙箱插件化 沙箱新增、删除与幻阵系统完全剥离,用户可将沙箱视为插件,更新沙箱如更新插件一样方便快捷;用户可灵活定制沙箱服务镜像,自定义沙箱内容、类型、甚至是检测逻辑等等,在降低沙箱制作成本的同时,极大程度地提高了沙箱的可操作性。沙箱插件化后,得益于智能蜜网可根据最新漏洞快速制作蜜罐,自动生成沙箱,一键关联服务,以极低成本推送到企业各个覆盖点进行应急检测响应。 4.溯源反制 基于设备指纹、社交ID技术,识别攻击者设备,获取攻击者手法、社交ID等信息,帮助企业溯源攻击者,建立防御体系的威慑性。幻阵中的攻击反制技术,通过多种反向控制手段对攻击者建立画像,做到最高级别的溯源,反制支持Windows、MacOS、Android,覆盖更全面,伪装更隐蔽,是构建主动防御。 5.沙箱云市场 幻阵转为欺骗防御底座,云市场几百个高交互沙箱,是默安科技在历年攻防演练中积累沉淀的攻击者感兴趣的沙箱,用户可从幻阵产品中进入云市场页面,一键新增沙箱,构建场景化,将欺骗防御领域的沙箱类型从数十个,拓展到数百个。 6.攻击不落地 通过默安科技团队维护云上沙箱服务和场景化,在云下企业内部署中继节点、伪装代理等,将攻击流量转发到云上,有效避免逃逸风险。同时,云化后的欺骗场景更为丰富,默安提供的响应更新服务更加及时。 7.黑客情报联动体系 通过幻阵集中管理平台、情报中心联动默安科技刃甲、剑幕、幻阵-中继节点、幻阵-伪装代理等产品和组件,全面覆盖互联网侧和内网侧部署场景,做到全企业场景的欺骗感知与自动化响应,牵一发而动全身,一旦黑客被捕捉到情报,企业全欺骗防御体系立即进行响应,形成企业全场景覆盖的默安科技欺骗防御全景图。 查看详情

雳鉴SCA开源组件分析系统-用户案例

2024-06-24 17:14:25

制造行业-某大型民营企业 案例背景 该公司是一家专注于健康饮食电器研发、生产和销售的上市企业。随着时代的变革,家电已经成为物联网时代的家电独角兽,成为人们生活中的一部分,家电也越来越智能。家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大,更多的是在安全开发过程中去解决,就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。 客户需求 缺乏安全测试流程和规范,研发团队在业务自查中存在规范的安全测试及验证流程,但仅靠安全人员的参与在落地中存在一定的困难; 安全部门更希望通过一套机制能在开发过程中查出软件成分风险和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证; 软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。 部署场景 通过默安雳鉴开发安全解决方案在研发过程中使用,全面检测高危风险行为。 方案价值 在开发测试环节中建立安全测试环节,取代了人工渗透环节,帮助该企业在开发过程中快速发现软件成分风险、查出安全问题,做到风险低误报,降低了安全技术的门槛,做到软件安全真正自主可控。 建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业务安全自查需求,达到真实业务需要。 技术支持快速响应,在安全测试环节,技术团队的安全服务非常到位,出现问题第一时间响应,得到开发部门及安全部门的认可。 电力行业-某大型国企 案例背景 该企业是一家面向电力系统提供专业的电力行业信息化及通信应用解决方案、产品和服务的综合企业。公司服务行业涵盖电网、电厂、金融等多个行业。如此规模的研发团队里,在测试开发的安全检查中之前是没有任何规范的技术手段和流程去保证项目的安全性的。 客户需求 该企业项目主要面向电力类能源行业,这几年业务猛增,由于能源属于国家关键信息基础设施之一,这些上线的业务一旦发生网络安全事件,会直接影响行业的正常运行,对国家经济、社会等造成严重损失。信息安全在能源行业的监管和合规要求上,非常高。软件开发安全是信息安全的重要环节之一,也是业务上线前必要的一环,企业面临的安全责任也与日俱增。 研发团队存在大量的安全测试及验证需求,但安全技术的要求门槛高,以往在开发工作和教育体系中缺乏在开发安全方面的知识,导致安全性在开发环节存在一定的困难,需要一套流程化的工具能降低安全测试的门槛,有效帮助研发团队自主的落地安全测试工作,减轻安全人员的工作压力。 安全部门更希望通过一套机制能在开发过程中查出软件成分风险和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证; 部署场景 通过默安雳鉴开发安全解决方案在研发过程中使用,全面检测高危风险行为。 方案价值 通过雳鉴在开发测试环节中建立安全测试环节,有效的在工作环节形成安全闭环,满足了研发团队自主安全测试需求,降低安全技术规范的合规门槛,得到开发部门及安全部门的认可。 降低了安全测试的难度,通过雳鉴就能快速的发现软件成分风险、定位安全风险,细化了安全部和各研发团队的安全分工,节约了人力成本和沟通成本,提高了工作效率。 在安全测试的广泛度、实测风险低误报及安全风险的可视化方面,实际解决了很多安全问题,获得客户的一致认可。 查看详情

雳鉴SCA开源组件分析系统-产品介绍

2024-06-24 17:14:25

适用于:Linux 商品简介:Moresec SCA,是默安雳鉴DevSecOps全流程解决方案的重要组成部分,帮助客户管理应用中第三方组件所带来的安全、质量以及许可证合规性等方面的问题避免第三方组件带来的风险 商品亮点:海量自营数据,多语言支持,多引擎结合,低漏报低误报,验证便捷,提高修复效率,1day漏洞应急,快速响应,自主研发,安全可控 商品说明 版本: V1.0 交付方式: 镜像 适用于: Linux 上架日期: 2022-11-16 10:35:09.0 默安科技软件成分分析系统 针对公司系统庞杂但是安全人员缺乏、业务迭代速度快、安全工作易被边缘化的困境,默安科技提供了完善的安全解决方案。 默安科技雳鉴软件成分分析系统(以下简称“雳鉴SCA”),专注解决软件安全开发流程(SDL)中研发阶段的组件安全问题,是默安科技面向研发安全需求开发的基于软件安全开发生命周期管理的软件成分安全检测系统。在不改变当前研发流程和组织架构的前提下,与代码仓库(如SVN/GIT/TFS/Mercurial)无缝对接,实现开发阶段的风险组件生命周期闭环管理,以最小的代价帮助企业和组织实现组件安全的自动化检测,风险组件周期管理,安全质量分析,实现开源闭源组件的可视化管理。 2.产品架构 雳鉴SCA核心部分由云端安全管理平台,软件成分分析引擎,代码仓库监控引擎,数据存储中心等组成。 2.2产品组成与结构 雳鉴SCA由项目管理模块,组件库管理模块,软件成分管理模块,系统管理模块四个大模块组成。项目管理模块负责软件成分安全检测与统一管理,项目包含详情、模块管理列表和扫描任务列表,可在任务中设置软件成分分析引擎的相关检测策略;组件库管理模块负责对各类组件库进行检测,支持定时检测;软件成分管理模块负责对项目中扫描出的软件成分进行分析统计及管理;系统管理模块负责账号权限、报表、安全组件、日志审计、消息通知、系统配置等相关管理策略。 2.2.1项目管理模块 项目管理模块根据项目/模块/任务维度进行管理,可以对每个项目进行隔离,支持安全软件开发流程管理,包括单个项目的整体安全情况,保证产品上线前的安全质量,关注组件风险的趋势,同时可反映产品迭代过程中安全问题的爆发和修复趋势。 2.2.2组件库管理模块 组件库管理模块负责对企业的第三方私有组件库进行管理,雳鉴SCA支持Nexus、Artifactory私库检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,详情展示均为单个组件库最新检测的数据。支持对组件库中风险组件生命周期的闭环管理,包括软件成分的风险等级、所属项目、版本号、开源许可证、组件推荐建议等详细信息,并且可于列表一键更新数据,同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其CVE风险分布的可视化展示,支持软件成分的分享及报告导出等操作。 2.2.3软件成分管理模块 基于文件指纹检测以及依赖分析技术,分析获取项目中所有引用到的第三方组件,将软件成分数据回传到服务端,软件成分风险分析引擎,对第三方组件的版本风险,安全漏洞分析,开源许可证风险进行评估,并可视化展示。 2.2.4系统管理模块 系统管理模块包括报表管理、账号管理、系统信息、授权配置、邮件通知、WebHook通知、系统升级、自定义配置、日志审计、帮助中心等功能。 2.2.5第三方集成模块 2.2.5.1 Jenkins集成 Jenkins是当今使用最常用的开源持续集成(CI)工具之一,用于DevOps流程中,开发团队可以使用Jenkins完成整个自动化管理构建过程。雳鉴SCA提供Jenkins插件与Jenkins CI项目集成,在DveOps流程中加入安全测试,形成DevSecOps方案。雳鉴SCA通过与Jenkins pipeline工作流框架的集成,将自动化软件成分安全测试融入到pipeline测试流程中,实现DevSecOps目标。 2.2.5.2 JIRA集成 JIRA是当前企业常用的bug管理平台,雳鉴SCA支持JIRA的一键同步,即可将雳鉴SCA发现的风险软件成分一键导入到JIRA平台,实现风险软件成分持续跟踪管理,将风险组件跟踪与企业工作流对接,形成风险组件闭环管理。 2.2.5.3 禅道集成 禅道是当前企业常用的bug管理平台,雳鉴SCA支持禅道的一键同步,即可将雳鉴SCA发现的风险软件成分一键导入到禅道平台,实现风险软件成分持续跟踪管理,将风险组件跟踪与企业工作流对接,形成风险组件闭环管理。 2.2.5.4 Ldap集成 通过分析企业应用集成,并针对基于LDAP统一用户管理平台的技术特征,设计实现在雳鉴SCA平台上集成LDAP后用户同步的一种解决方案,有效地实现了在基于雳鉴SCA环境下集成 LDAP统一用户管理平台后用户信息的共享。 2.2.5.4 IDE集成 Eclipse 与IDEA都是一个基于Java的开发平台。雳鉴SCA提供Eclipse插件、IDEA插件实效检测代码安全,快速定位风险路径。将安全测试左移,尽早的发现、预防问题,以降低修复问题的成本,提高研发工程质量。 3.产品功能 3.1与开发流程融合 雳鉴SCA支持通过本地上传文件检测,支持SVN/GIT/TFS/Mercurial等代码仓库获取第三方组件进行检测,支持对代码仓库中的组件进行定时的安全体检,并自动聚合同地址(或同标签)任务生成比对信息,实时反馈至雳鉴SCA云端安全管理平台,帮助研发人员定位问题并提供解决方案,便于开发人员及时修复组件。 在不改变原有的研发流程情况下,无感知的对代码仓库进行安全检测,最大限度的减少研发人员的额外工作量,完美融入研发流程,全面覆盖研发人员在编码中和编码后的安全问题。 3.2 对研发过程参与者进行安全赋能 将安全嵌入到软件开发的每个阶段,要将安全的能力赋予产品设计人员、研发人员和测试人员,通过将安全技术进行封装等方式,确保参与人员能够进行便捷化的操作,达到安全管理的效果。 3.3 软件成分风险管理 雳鉴SCA支持对项目中的软件成分进行检测,提供对软件成分的管理,包括软件成分的风险等级、漏洞、版本号、开源许可证等详细信息,并且支持自定义配置开源许可证、策略组进行检测,同时支持添加自研组件及组件漏洞,覆盖多种使用场景,支持软件成分的分享及报告导出等操作。 3.4 第三方组件库管理 雳鉴SCA软件成分分析系统支持对第三方库中的软件成分进行检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,提供对软件成分的管理,包括软件成分的风险等级、所属项目、版本号、开源许可证等详细信息,并且可于列表一键重新检测,同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其CVE风险分布的可视化展示,支持软件成分的分享及报告导出等操作。 3.5 报告与报表管理 雳鉴SCA支持自动对第三方组件安全问题进行分析,可输出项目报告、模块报告、任务报告。项目报告可视化呈现各模块中含漏洞组件排行,风险组件模块排行等,以图形化报表的方式展现项目安全分析结果,便于管理者把控第三方组件安全的整体情况,提供在线查看、Excel、PDF和word格式的检测报告, 4.产品价值 4.1Gartner SCA唯一中国厂商 作为全球最具权威的IT研究和咨询公司之一,Gartner密切关注新兴和能带来持续价值的IT技术、产品方向,并针对该细分市场发布权威的趋势分析,不仅会分析市场的规模、方向与核心技术,还会列出其在全球范围内筛选评估出来的代表厂商。Gartner分析师每年都在数千家企业中挑选最具代表性的“创新者”和“颠覆者”,其市场指南报告代表着成熟技术和产品的最高技术水平和最新市场趋势,是细分领域的全球风向标。 4.2与研发流程无缝对接 支持本地上传文件检测,支持SVN/GIT/TFS/Mercurial等代码仓库集成; 不改变现有开发流程,插件式融入研发阶段; 零门槛,零成本,不给研发人员额外工作量,无感知的进行软件成分安全检测; 4.3软件成分生命周期闭环管理 提供软件成分风险发现,风险确认,风险详情,风险修复,风险重检等功能,覆盖软件成分生命周期中的每个阶段; 提供软件成分漏洞描述,修复建议等详情帮助研发人员排查问题和修复组 4.4可视化的项目安全分析 支持项目软件成分风险数据综合分析,可视化展示含漏洞组件排行,风险组件模块排行,当前组件风险类别,安全评分等,帮助管理人员整体把控项目安全质量; 支持将同地址(获取方式为:GIT/SVN /TFS/MERCURIAL)的任务或同标签(获取方式为:上传文件)的任务聚合为同一模块进行深度分析,可视化展示其风险组件总数趋势与新增风险组件趋势等信息,帮助管理员分析不同时段的组件安全状况; 支持项目迭代周期安全质量可视化展示,反映项目迭代过程中安全质量趋势; 4.5详细的软件成分风险管理 雳鉴SCA可以帮助用户梳理项目中的第三方组件使用情况,使用频率,使用广度进行可视化展示,针对第三方组件的风险,分为是否最新版本、安全漏洞风险、开源许可证风险三类,帮助用户完全掌握第三方组件的安全风险,评估对第三方组件的修复方案。从而最终解决软件成分风险产生的安全问题对企业带来的收益及名誉损失。 4.6便捷一站式1Day漏洞响应 支持提供便捷一站式1day漏洞响应,在对应软件成分新漏洞公布后,默安科技第一时间提供软件成分漏洞库更新,更新后在软件成分列表一键重新检测并根据1day漏洞名称进行搜索,即可确认受影响的软件成分,在受影响的软件成分详情内提供对应漏洞详情以供查看,方便安全人员及开发人员进行修复。 4.7低误报的多种检测手段 雳鉴SCA提供了对影响应用程序的开源组件安全漏洞的深入了解,并提供不同视角分析风险,了风险严重性度量、详细的漏洞描述和修复指南,以降低利用风险。 4.8形成DevSecOps解决方案 雳鉴系统全流程、零门槛实现研发能力的安全赋能及升级,通过威胁建模、SAST测试、SCA测试、IAST测试到运营全流程的嵌入式解决方案,在不增加用户教育成本、改变工作流程的前提下,实现系统开发全流程的安全能力导入。落实了devsecops中“安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节”的核心理念。 查看详情

共14537条

为您推荐

L实例 在线语音转文字 通用文字识别 对象存储OBS IoT全栈云服务 安全合规服务 文字语音识别 OCR图片文字识别 扫描图片识别文字 录音转文字