供应链安全能力分中心(浙江)
评估服务单元简介
此简介由公安部第三研究所供应链安全能力分中心(浙江)技术部整理编制。仅用于沟通评估服务,其内容可能会根据业务需求及实际情况进行相应调整。最终评估服务的具体内容及细节,将需经双方深入讨论并达成一致后确认。
软件供应链安全评估认证服务提供五个维度进行评估,包括:软件成分分析、二进制软件基因安全评估、容器镜像安全技术分析、动态应用程序安全测试、静态应用程序安全测试五项内容。用户可以根据产品最终的交付形态选择合适的评估维度。
一、软件成分分析(必选)
软件成分分析(SCA,Software Composition Analysis)用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题。
物料清单:
物料类型(可选) | 支持格式 |
未经混淆的源代码 | *.tar, *.tar.gz, *.tgz, *.bz2,*.tar.bz2, *.tar.xz, *.gz, *.7z, *.zip, *.rar, *.jar, *.war, *.whl |
未经混淆的制品 | *.jar,*.war |
无法提供源代码的情况下,将由我中心提供客户端程序,在待检测系统的开发环境中运行,自动生成中间文件与哈希值,我中心将对该中间文件进行检测业务,检测结果仅对该中间文件负责。
二、二进制软件基因安全评估
二进制软件基因安全评估(Gene)专注于对已编译的二进制文件进行分析,以识别其中的安全漏洞和潜在威胁,特别是针对软件供应链的安全问题。二进制安全工具能够检测二进制文件中的已知漏洞、恶意代码、逆向工程尝试和其他安全问题。
物料清单:
物料类型 | 系统 | 支持格式 |
未混淆或加密的二进制文件 | Windows | *.exe, *. msi, *.dll |
Linux | 无后缀elf文件 | |
安卓 | *.apk | |
苹果 | *.ipa | |
其他 | zip、tar、gz、tgz、rar、7z、tar.xz、tar.bz2等 |
三、容器镜像安全技术分析
容器安全(Container)专注于确保容器化应用在构建、部署和运行时的安全性,特别关注软件供应链的安全。容器安全工具通过扫描容器镜像以识别和修复已知漏洞,监控容器运行时的行为以检测异常活动,并管理容器的网络和权限设置以防范潜在的安全威胁。
物料清单:
物料类型 | 支持格式 |
镜像文件 | *.tar, *.tgz, *.tar.gz |
四、动态应用程序安全测试
动态应用程序安全测试(DAST,Dynamic Application Security Testing)是一种通过在应用程序运行时进行分析,以检测和识别安全漏洞的方法。DAST工具模拟外部攻击者的行为,在不访问应用程序源码的情况下,通过发送不同类型的输入和请求,观察应用程序的响应和行为,从而发现潜在的安全问题。这种测试方法能够有效检测出SQL注入、跨站脚本攻击(XSS)等常见的安全漏洞。
物料清单:
物料类型 | 支持格式 |
公网环境信息 | 1. 可访问、公网可达的站点地址; 2. 可正常登录访问的管理员鉴权信息; 3. 用户操作手册; |
五、静态应用程序安全测试
静态应用程序安全测试(SAST,Static Application Security Testing)是一种白盒测试技术,通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。
物料清单:
物料类型 | 支持格式 |
未经混淆的源代码 | *.tar, *.gz, *.zip, *.rar, *.tar.gz, *.tgz, *.bz2, *.tar.bz2, *.tar.xz, *.7z等可解压的压缩包 |
公安部第三研究所
供应链安全能力分中心(浙江)
2024年8月
附件:
数安官方公众号
分中心公众号