一、公司介绍
开源网安是国内软件安全行业创领者,2013年成立于深圳,被认定为国家高新技术企业,并在北京、上海、武汉、成都、合肥、珠海、长沙多地设有分子公司。
开源网安专注于软件安全技术领域,以捍卫中国软件安全为使命,是国内唯一在软件安全领域拥有全链条产品、技术、服务能力的安全厂商,多个产品打破国外垄断,填补国内空白。经十年发展,开源网安业务范围覆盖金融、能源、通信、监管、科技等行业数百家头部单位;参与我国多项软件安全相关国家信息标准制定;先后与国家测评中心、国家认证中心、工信安全、航天网信等国家机构及央国企建立了稳定、持续、良好的战略合作关系。
二、产品简介
开源网安灰盒安全测试平台(VulHunter),是国内首款基于IAST技术自主研发的灰盒安全检测产品,通过使用插桩技术和流量代理,在研发测试阶段对运行时的应用及API进行漏洞实时检测。VulHunter支持对软件漏洞进行全生命周期管理,实施多维度应用安全管控,具有“高覆盖、低误报、实时检测”等优点,可与DevSecOps流程无缝融合。
产品效果:
1、多种自验证、修复验证等验证方式,降低误报率;
2、运用插桩和流量模式检测运行中的应用程序,无需改变现有测试流程;
3、全面的漏洞信息,包括代码定位、请求信息、数据流信息及修复方案;
4、去专业化能力强,开发人员和测试人员功能测试同时完成安全测试;
5、支持对运行时应用的第三方软件漏洞检测,检测更深入全面;
6、支持提供专业的应用安全报告,确保开发人员提交“更安全”代码;
产品优势:
1、丰富的检测模式 多样化检测场景
● 支持被动插桩、主动插桩检测模式
● 支持流量代理、流量镜像、流量嗅探检测模式
● 支持单机应用检测、RPC协议检测
● 支持全链路跟踪微服务应用的各种复杂场景检测
● 支持对上千应用程序并发安全检测
2、兼容多种应用环境 安全检测能力更全面
● 支持Java、NodeJS、C#/、.Net、PHP、Python、Go检测语言
● 支持Netty、Play、Spring Framework等11种主流Web应用框架
● 支持Tomcat、WebLogic、ApusicV10、TongWeb等13种主流和信创Web容器
● 支持CWE、Owasp Top10等多种安全检测标准
3、多维度安全风险管理,应用安全有保障
● 支持注入型漏洞、逻辑漏洞、敏感信息等90种以上漏洞检测规则并持续更新
● 支持容器镜像基础运行环境安全扫描和软件应用包安全审查
● 支持开源组件安全检测,并提供组件漏洞详细信息
● 支持应用功能测试覆盖度可视化
● 支持漏洞自验证、修复验证以及辅助验证多种验证方式
● 支持企业根据自己安全标准自定义漏洞规则
4、部署简单,探针管理方式丰富
● 支持冷部署及热加载部署,支持流水线集成,脚本部署
● 支持CPU、内存等多种类型探针熔断机制
● 支持高并发、性能优先等多种探针使用应用场景
● 支持监控探针服务器健康检测
● 企业级产品安全保障 使用更放心
● 支持对检出漏洞信息加密存储和加密传输
● 支持用户细粒度的权限控制;
● 支持系统关键操作留痕及系统水印
5、集成DevSecOps解决方案,持续检测
● 支持集成Jira、禅道等缺陷平台,无缝融合企业流程
● 提供标准API接口,支持定制化业务场景的需求
● 支持与Jenkins等CI/CD平台集成,提供Jenkins插件
● 支持对接DevOps平台,实现自动化测试
● 支持单点登录集成与LDAP集成
三、方案架构图
四、技术架构图
五、应用案例
案例一:工商银行
● 客户背景:
中国工商银行,数字化程度最高的银行,国内有7个研发中心(珠海、广州、上海、北京、杭州、成都、西安),总共有5600多人,同时有数千外部资源,管理着300多个应用,开放 1900 余个应用接口,每天构建上千次。
● 解决方案:
提供VulHunter灰盒安全扫描工具产品及服务。
● 客户价值:
① 提供了基于IAST的核心技术,补全工行应用安全测试能力体系,有利支撑起安全检测统一管理平台的建设
② 安全部门对全国各部门的业务安全,有了更多保障,效率大幅提升;
③ 目标应用的测试覆盖度提升了100%,人员投入下降了80%;
④ 既有的检测方法,在IAST基础上进行融合,特别是针对框架定制化开发之后,检测流程更顺畅、效果更准确;
⑤ 通过安全培训、漏洞挖掘的交流,提升了安全部门、研发部门的安全意识,到达安全左移,降低成本的目标.
案例二:国信证券
● 客户背景:
国信证券股份有限公司(简称“国信证券”),1994.6.30成立,总部设在深圳。至2020.9底,注册资本96.12亿元;员工总数11964人;在全国117个城市和地区共设有55家分公司、177家营业部,总资产2731.67亿元。作为国内证券公司总资产排名前十的大型券商公司,国信证券二十多年来在信息技术服务方面一直走在行业前列。
● 解决方案:
提供软件安全测试服务和VulHunter灰盒安全扫描工具产品。
● 客户价值:
① 可集成国信证券现有平台(缺陷管理平台),融入开发及检测流程,IAST提供了有利的安全工具支撑,推动安全工作有效落地;
② 100%覆盖自研应用系统的安全测试,提高应用系统安全性;
③ 通过VulHunter产品,赋能国信证券安全部门,完成对外包公司交付应用系统的安全检测,保障自研及外购系统一致的安全性,降低企业面临的安全风险。
私信
