近日，數(shù)說(shuō)安全與《中國(guó)信息安全》雜志通過(guò)對(duì)金融機(jī)構(gòu)訪談、安全廠商調(diào)研、監(jiān)管處罰內(nèi)容解讀和CSRadar商業(yè)分析平臺(tái)數(shù)據(jù)的分析，結(jié)合中國(guó)金融行業(yè)面臨的安全挑戰(zhàn)及網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，共同編寫(xiě)并發(fā)布了《2024年中國(guó)金融行業(yè)網(wǎng)絡(luò)安全研究報(bào)告》（以下簡(jiǎn)稱金融網(wǎng)安報(bào)告），比瓴科技榮獲《金融網(wǎng)安報(bào)告》熱度品牌廠商推薦并入選《2024年中國(guó)金融行業(yè)網(wǎng)絡(luò)安全市場(chǎng)全景圖》（以下簡(jiǎn)稱全景圖）開(kāi)發(fā)安全“DevSecOps、SCA、SAST、IAST”四大細(xì)分領(lǐng)域和安全服務(wù)“滲透測(cè)試”領(lǐng)域。

數(shù)說(shuō)安全通過(guò)對(duì)網(wǎng)絡(luò)安全廠商在2023年金融行業(yè)項(xiàng)目熱度指數(shù)表現(xiàn)的分析發(fā)現(xiàn)，初創(chuàng)廠商在細(xì)分領(lǐng)域展現(xiàn)出較強(qiáng)的競(jìng)爭(zhēng)力，比瓴科技深耕于開(kāi)發(fā)安全領(lǐng)域，憑借專精的產(chǎn)品技術(shù)及優(yōu)秀的安服能力快速步入企業(yè)用戶視野，并成功入選金融行業(yè)網(wǎng)絡(luò)安全年度熱度品牌推薦。本次入選代表著比瓴在金融行業(yè)具有高口碑和知名度。

《全景圖》從各品牌在中國(guó)金融行業(yè)的市場(chǎng)中標(biāo)情況、市場(chǎng)熱度、品牌知名度及產(chǎn)品成熟度等維度做了綜合的評(píng)價(jià)。

比瓴科技入圍開(kāi)發(fā)安全“DevSecOps、SCA、SAST、IAST”多個(gè)細(xì)分領(lǐng)域和安全服務(wù)“滲透測(cè)試”領(lǐng)域，代表了比瓴的產(chǎn)品技術(shù)能力和安全服務(wù)質(zhì)量倍受廣泛認(rèn)可。

開(kāi)發(fā)安全運(yùn)營(yíng)一體化解決方案（DevSecOps）

當(dāng)今軟件開(kāi)發(fā)的節(jié)奏日益加快，但安全與效率并非不可兼顧。比瓴科技DevsecOps咨詢服務(wù)致力于將安全與效率結(jié)合，幫助組織在實(shí)現(xiàn)軟件產(chǎn)品快速交付的同時(shí)，確保軟件安全性。

·威脅識(shí)別

通過(guò)不斷更新和擴(kuò)展的資源庫(kù)，幫助項(xiàng)目組積極地識(shí)別和防范潛在的安全威脅，通過(guò)智能化的內(nèi)容整合和易于搜索的界面，快速獲取所需的安全信息，有效地提高開(kāi)發(fā)過(guò)程的安全性和合規(guī)性。

·態(tài)勢(shì)管理

與SCA、SAST、IAST等開(kāi)發(fā)工具鏈無(wú)縫集成，與Git、Jenkins等開(kāi)發(fā)工具鏈無(wú)縫集成，持續(xù)識(shí)別安全風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行量化和優(yōu)先級(jí)排序，提升安全活動(dòng)的自動(dòng)化水平，幫助組織有效分配資源，處理最嚴(yán)重的安全問(wèn)題。

·持續(xù)優(yōu)化

建立安全體系并不斷地改善和優(yōu)化，在不犧牲開(kāi)發(fā)速度的前提下，提高應(yīng)用的安全性，減少未來(lái)安全事件的發(fā)生。

瓴鏡—軟件成分分析系統(tǒng)（SCA）

瓴鏡SCA系統(tǒng)支撐檢測(cè)評(píng)估業(yè)務(wù)場(chǎng)景，通過(guò)智能化數(shù)據(jù)收集引擎在全球范圍內(nèi)獲取開(kāi)源軟件信息及其相關(guān)漏洞信息，利用自主研發(fā)的開(kāi)源軟件分析引擎為企業(yè)提供開(kāi)源軟件資產(chǎn)識(shí)別、開(kāi)源軟件安全風(fēng)險(xiǎn)分析、開(kāi)源軟件漏洞告警及開(kāi)源軟件安全管理等功能，幫助用戶掌握開(kāi)源軟件資產(chǎn)信息，及時(shí)獲取開(kāi)源軟件漏洞情報(bào)，降低由開(kāi)源軟件帶來(lái)的安全風(fēng)險(xiǎn)，保障企業(yè)交付更安全的軟件。

·基于包管理器的軟件成分分析技術(shù)

開(kāi)源軟件識(shí)別與分析技術(shù)：瓴鏡SCA通過(guò)高自動(dòng)化和高準(zhǔn)確性的文件特征提取機(jī)模擬構(gòu)建分析引擎，快速生成全面且準(zhǔn)確的組件清單，并分析各組件的漏洞風(fēng)險(xiǎn)及許可證風(fēng)險(xiǎn)。

·基于多鏈路的組件依賴分析技術(shù)

瓴鏡SCA基于多鏈路的組件依賴分析技術(shù)，結(jié)合擬構(gòu)建和開(kāi)源數(shù)據(jù)核驗(yàn)，以圖形化展示提供清晰直觀的組件依賴關(guān)系圖。

·漏洞可達(dá)性分析技術(shù)

瓴鏡SCA結(jié)合AST信息提取和開(kāi)源組件知識(shí)庫(kù)，精確分析函數(shù)調(diào)用鏈和位置，憑借在國(guó)家級(jí)攻防演練中積累的漏洞利用規(guī)則庫(kù)，能夠清晰準(zhǔn)確地判斷組件的真實(shí)調(diào)用情況和漏洞的可達(dá)性。

·基于AI的憑證檢測(cè)技術(shù)

瓴鏡SCA通過(guò)靜態(tài)匹配規(guī)則、熵字符串檢索和機(jī)器學(xué)習(xí)算法，綜合檢測(cè)應(yīng)用程序中的敏感數(shù)據(jù)，有效識(shí)別和保護(hù)顯式及隱式存儲(chǔ)的憑證信息，以防止數(shù)據(jù)泄露。

瓴鏡—源代碼安全審計(jì)系統(tǒng)（SAST）

瓴鏡-源代碼安全審計(jì)系統(tǒng)是采用領(lǐng)先的源代碼靜態(tài)分析技術(shù)開(kāi)發(fā)的一款針對(duì)源代碼缺陷進(jìn)行靜態(tài)分析檢測(cè)的產(chǎn)品。它在對(duì)目標(biāo)軟件代碼進(jìn)行語(yǔ)法、語(yǔ)義分析的技術(shù)上，輔以數(shù)據(jù)流分析、控制流分析和特有的缺陷分析算法等高級(jí)靜態(tài)分析手段，能夠高效的檢測(cè)出軟件源代碼中的可能導(dǎo)致嚴(yán)重缺陷漏洞和系統(tǒng)運(yùn)行異常的安全問(wèn)題和程序缺陷，并準(zhǔn)確定位告警，從而有效的幫助開(kāi)發(fā)人員消除代碼中的缺陷、減少不必要的軟件補(bǔ)丁升級(jí)，為軟件的信息安全保駕護(hù)航。

瓴鏡—交互式應(yīng)用安全檢測(cè)系統(tǒng)（IAST）

瓴鏡交互式應(yīng)用安全檢測(cè)系統(tǒng)在應(yīng)用上線前必不可少的安全工具，專門(mén)用于發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。其最大的特點(diǎn)在于采用了一種獨(dú)特的“被動(dòng)插樁模式”，這意味著它不會(huì)對(duì)正在運(yùn)行的系統(tǒng)或應(yīng)用程序產(chǎn)生任何干擾或產(chǎn)生不必要的數(shù)據(jù)。用戶在使用時(shí)，只需通過(guò)簡(jiǎn)潔的管理界面進(jìn)行項(xiàng)目配置，系統(tǒng)便會(huì)自動(dòng)開(kāi)始對(duì)應(yīng)用程序的數(shù)據(jù)流進(jìn)行分析。這種分析是實(shí)時(shí)的，能夠在應(yīng)用程序運(yùn)行時(shí)捕捉到任何可疑行為或漏洞。一旦檢測(cè)到潛在的安全漏洞，系統(tǒng)會(huì)立即向用戶發(fā)出警報(bào)，并為用戶提供詳細(xì)的漏洞信息和解決方案。

對(duì)于開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，這個(gè)工具不僅僅是發(fā)現(xiàn)漏洞，更是修復(fù)漏洞的利器。系統(tǒng)會(huì)提供一個(gè)已驗(yàn)證的漏洞列表，這些漏洞都是經(jīng)過(guò)系統(tǒng)嚴(yán)格檢測(cè)并確認(rèn)存在的。開(kāi)發(fā)人員可以根據(jù)這個(gè)列表，實(shí)時(shí)修復(fù)代碼中的問(wèn)題，確保應(yīng)用程序的安全性。

滲透測(cè)服務(wù)

滲透測(cè)試服務(wù)通過(guò)模擬真實(shí)攻擊者的攻擊行為，發(fā)現(xiàn)應(yīng)用程序中存在的安全漏洞和弱點(diǎn)，幫助組織識(shí)別和修復(fù)潛在的安全風(fēng)險(xiǎn)，加強(qiáng)應(yīng)用程序抵御惡意攻擊的能力。

比瓴科技專注于軟件供應(yīng)鏈安全領(lǐng)域，以AI和數(shù)據(jù)為核心提供覆蓋全場(chǎng)景的軟件供應(yīng)鏈安全產(chǎn)品和安全咨詢服務(wù)。打通應(yīng)用安全數(shù)據(jù)孤島，實(shí)現(xiàn)安全運(yùn)營(yíng)過(guò)程自動(dòng)化，增強(qiáng)應(yīng)用軟件資產(chǎn)風(fēng)險(xiǎn)可視性，為軟件安全保駕護(hù)航。