現(xiàn)代軟件已不再是孤立的代碼，而是一條由無數(shù)環(huán)節(jié)組成的鏈條，任何一個(gè)環(huán)節(jié)的漏洞，都可能成為整個(gè)生態(tài)系統(tǒng)的災(zāi)難入口。以數(shù)字安全能力助力共護(hù)數(shù)字時(shí)代信息安全，5月15日，萬里紅在第12屆中國(guó)國(guó)際警用裝備博覽會(huì)上，正式發(fā)布了萬里紅供應(yīng)鏈軟件安全解決方案，為數(shù)字時(shí)代信息安全提供體系化的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)排查和防護(hù)的技術(shù)手段，共護(hù)數(shù)字時(shí)代的信息安全。

有關(guān)研究表明，在全球基于17個(gè)行業(yè)，1067個(gè)商業(yè)代碼庫中，96%代碼庫包含開源代碼，77%開源代碼存在于商業(yè)代碼庫中，國(guó)內(nèi)使用開源技術(shù)的企業(yè)占比達(dá)88.2%。在過去三年中針對(duì)上游開源代碼存儲(chǔ)庫的攻擊數(shù)量增加了742%……

近年來，針對(duì)重要領(lǐng)域、核心系統(tǒng)的供應(yīng)鏈攻擊呈現(xiàn)出爆發(fā)式增長(zhǎng)，成為影響企事業(yè)單位運(yùn)營(yíng)、信息安全的重要因素。

作為數(shù)字安全和數(shù)智應(yīng)用領(lǐng)域的“國(guó)家隊(duì)”，萬里紅基于多年來的數(shù)字安全技術(shù)積淀，在第十二屆警博會(huì)上正式推出萬里紅供應(yīng)鏈軟件安全解決方案，聚焦供應(yīng)鏈軟件安全管理、開發(fā)安全、供應(yīng)鏈清單圖譜、安全風(fēng)險(xiǎn)管理等四大關(guān)鍵治理要素，構(gòu)建起多層次、全方位的供應(yīng)鏈軟件安全風(fēng)險(xiǎn)排查與防護(hù)體系，為數(shù)字時(shí)代信息安全提供體系化的供應(yīng)鏈軟件安全排查與防護(hù)技術(shù)手段。

四治融合 提升供應(yīng)鏈軟件安全韌性

萬里紅供應(yīng)鏈軟件安全解決方案，聚焦強(qiáng)化四大核心治理要素協(xié)作配合，形成全面覆蓋安全評(píng)估、安全檢測(cè)、安全管理、應(yīng)急處置的供應(yīng)鏈安全防護(hù)體系，保障供應(yīng)鏈軟件全生命周期安全。

安全管理制度：依據(jù)相關(guān)法律法規(guī)及標(biāo)準(zhǔn)等要求，助力用戶構(gòu)建完善的供應(yīng)鏈安全管理制度體系，為保障供應(yīng)鏈軟件安全穩(wěn)定，提供堅(jiān)實(shí)的制度保障。

開發(fā)安全管理：支持軟件開發(fā)的全生命周期的安全管理，將風(fēng)險(xiǎn)安全左移，不讓供應(yīng)鏈軟件“帶病上崗”。

供應(yīng)鏈清單圖譜：“摸清家底”，將各類供應(yīng)鏈離散數(shù)據(jù)孤島，統(tǒng)一整理建立相應(yīng)血緣關(guān)聯(lián)關(guān)系，全景顯示供應(yīng)鏈安全現(xiàn)狀。

安全風(fēng)險(xiǎn)管理：對(duì)于現(xiàn)有供應(yīng)鏈安全情況進(jìn)行全面脆弱性評(píng)估與風(fēng)險(xiǎn)評(píng)估，通過對(duì)供應(yīng)鏈成分分析、安全漏洞、威脅情報(bào)、許可合規(guī)、知識(shí)庫等全面的安全風(fēng)險(xiǎn)管理，消除現(xiàn)有存在安全風(fēng)險(xiǎn)。

全場(chǎng)景供應(yīng)鏈軟件安全 新品首發(fā)

基于萬里紅供應(yīng)鏈軟件安全解決方案完整體系，根據(jù)不同應(yīng)用場(chǎng)景及需求，萬里紅首次發(fā)布了7款供應(yīng)鏈軟件安全排查與防護(hù)類新品，以最佳實(shí)踐方式為數(shù)字時(shí)代信息安全提供最佳解決方案：

01萬里紅供應(yīng)鏈安全一體化智能作戰(zhàn)平臺(tái)

該平臺(tái)基于自主研發(fā)的多源供應(yīng)資產(chǎn)探測(cè)采集、關(guān)鍵節(jié)點(diǎn)建模分析技術(shù)，構(gòu)建了覆蓋供應(yīng)鏈全生命周期的安全資產(chǎn)圖譜，實(shí)現(xiàn)了多源、多種、多級(jí)資產(chǎn)目錄與供應(yīng)服務(wù)的精細(xì)化管理。

√ 數(shù)據(jù)采集治理 √ 全域資產(chǎn)管理

√ 漏洞管理運(yùn)營(yíng) √ 軟件物料清單

√ 指標(biāo)監(jiān)測(cè)管理 √ 多源工具集成

02萬里紅開源軟件安全智能檢測(cè)系統(tǒng)

萬里紅開源軟件安全智能檢測(cè)系統(tǒng)是集開源軟件成分識(shí)別、風(fēng)險(xiǎn)分析、安全治理、閉環(huán)管控于一體的開源軟件安全平臺(tái)。平臺(tái)支持與軟件開發(fā)全生命周期無縫對(duì)接，適用于供應(yīng)鏈軟件上下游各環(huán)節(jié)、供方需方的開源安全檢測(cè)需求。

• 實(shí)現(xiàn)二進(jìn)制函數(shù)級(jí)關(guān)鍵分析能力，面向信創(chuàng)軟件環(huán)境下二進(jìn)制軟硬件代碼安全檢測(cè)。
• 貫徹安全“左”移治理理念，面向需求設(shè)計(jì)初期安全準(zhǔn)入管控的開源軟件安全評(píng)估模型與組件選型工具。
• 開源漏洞可達(dá)性驗(yàn)證技術(shù)，實(shí)現(xiàn)風(fēng)險(xiǎn)特征函數(shù)自動(dòng)驗(yàn)證，實(shí)現(xiàn)安全治理降本增效。
• 通過開源安全檢測(cè)與數(shù)字定向防護(hù)技術(shù)，實(shí)現(xiàn)漏洞精準(zhǔn)攔截修復(fù)。

03萬里紅靜態(tài)安全應(yīng)用智能檢測(cè)系統(tǒng)

萬里紅靜態(tài)安全應(yīng)用智能檢測(cè)系統(tǒng)是一款針對(duì)源代碼缺陷進(jìn)行靜態(tài)分析檢測(cè)系統(tǒng)。該系統(tǒng)在對(duì)目標(biāo)軟件代碼進(jìn)行語法、語義分析的技術(shù)上，輔以數(shù)據(jù)流分析、控制流分析和特有的缺陷分析算法等高級(jí)靜態(tài)分析手段，高效檢測(cè)軟件源代碼中的可能導(dǎo)致嚴(yán)重缺陷漏洞和系統(tǒng)運(yùn)行異常的安全問題和程序缺陷，并準(zhǔn)確定位告警，從而有效幫助開發(fā)人員消除代碼中的缺陷、減少安全隱患，為軟件的信息安全保駕護(hù)航。

• 源代碼分析 √ 安全規(guī)則檢查
• 自動(dòng)化掃描 √ 集成CI/CD
• 漏洞修復(fù)反饋 √支持多語言框架

04萬里紅動(dòng)態(tài)安全應(yīng)用智能檢測(cè)系統(tǒng)

萬里紅動(dòng)態(tài)安全應(yīng)用智能檢測(cè)系統(tǒng)在不破壞DevOps的協(xié)作性和敏捷性的前提下，對(duì)應(yīng)用程序的動(dòng)態(tài)行為進(jìn)行測(cè)試和分析，并定位漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)，識(shí)別漏洞的形成過程，準(zhǔn)確地發(fā)現(xiàn)和識(shí)別潛在的安全漏洞和風(fēng)險(xiǎn)，提供更安全可靠和全面的應(yīng)用程序安全檢測(cè)解決方案。

• 漏洞檢測(cè) √ 漏洞驗(yàn)證
• 組件風(fēng)險(xiǎn)分析 √ 敏感信息檢測(cè)

05萬里紅容器鏡像安全智能檢測(cè)系統(tǒng)

萬里紅容器鏡像安全智能檢測(cè)系統(tǒng)是為DevOps全生命周期和容器環(huán)境全棧提供安全防護(hù)。系統(tǒng)融合云原生特性，將安全能力左移到構(gòu)建階段，利用數(shù)據(jù)驅(qū)動(dòng)安全的技術(shù)路線，主動(dòng)持續(xù)開展風(fēng)險(xiǎn)分析，并通過近源端控制實(shí)現(xiàn)安全防護(hù)，構(gòu)建高效的云原生安全體系。

• 鏡像軟件供應(yīng)鏈安全 √ 容器工作負(fù)載安全
• 容器網(wǎng)絡(luò)安全 √ 集群安全態(tài)勢(shì)管理……

06 萬里紅模糊測(cè)試智能化系統(tǒng)

系統(tǒng)是基于智能模糊測(cè)試引擎集、并行模糊測(cè)試框架，結(jié)合AIGC技術(shù)構(gòu)建的新一代智能模糊測(cè)試系統(tǒng)平臺(tái)，可應(yīng)用于各類安全關(guān)鍵領(lǐng)域，支持對(duì)源代碼、二進(jìn)制（無源碼）、操作系統(tǒng)內(nèi)核（包括基于Linux內(nèi)核的國(guó)產(chǎn)操作系統(tǒng)）、協(xié)議及Web API進(jìn)行檢測(cè)，覆蓋了系統(tǒng)健壯性測(cè)試、0 day漏洞挖掘等測(cè)試場(chǎng)景。

√ 代碼模糊測(cè)試 √ 操作系統(tǒng)模糊測(cè)試

√ 二進(jìn)制模糊測(cè)試 √ API模糊測(cè)試

√ 協(xié)議模糊測(cè)試 √ 分布式并行測(cè)試

07 萬里紅供應(yīng)鏈安全便攜式檢查設(shè)備

萬里紅供應(yīng)鏈安全便攜式檢查設(shè)備從供應(yīng)鏈安全管理和風(fēng)險(xiǎn)威脅等多維度出發(fā)，自主研發(fā)的供應(yīng)鏈軟件安全檢測(cè)便攜式設(shè)備。該型設(shè)備能夠安全無損地對(duì)供應(yīng)鏈軟件安全中各類組成單元、業(yè)務(wù)應(yīng)用系統(tǒng)甚至在建系統(tǒng)進(jìn)行安全檢測(cè)，幫助用戶清晰地了解所處供應(yīng)鏈軟件的資產(chǎn)構(gòu)成和安全隱患，并提供配套的整改建議方案。

作為數(shù)字安全和數(shù)智應(yīng)用領(lǐng)域的“國(guó)家隊(duì)”，萬里紅將依托二十余年來在終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全檢查、安全運(yùn)營(yíng)、保密安全等領(lǐng)域積累的深厚技術(shù)和豐富實(shí)踐經(jīng)驗(yàn)，持續(xù)深化供應(yīng)鏈軟件安全排查和防護(hù)能力體系建設(shè)，助力數(shù)字時(shí)代，共護(hù)“數(shù)字生命線”，守牢“數(shù)字安全線”。