9月21日,在“软件供应链安全与开发安全”产品发布会上,腾讯安全发布了静态应用检测系统Xcheck和二进制软件成分分析BSCA两款开发安全工具,帮助企业在产品上线之前收敛安全漏洞,实现“安全左移”。
随着Solarwinds、Log4j等现象级安全事件频发,供应链安全进入公众视野。在软件应用生命周期里,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长,传统的漏洞检测方法通常只能在业务系统开发完成后才能介入,这导致漏洞的修复成本高昂,甚至很多漏洞在安全事件发生后才会被发现及修正。
为了规避开发阶段以及第三方供应链引入的安全威胁,DevSecOps理念持续升温,国内外一些技术领先的安全厂商也在致力于构建静态应用静态应用程序安全性测试(SAST)和软件成分分析(SCA)能力和工具。Xcheck和BSCA就是腾讯安全基于前沿技术的积累和自身研运安全体系实践,自研的两款开发安全产品。
发布会上,腾讯安全产品行销经理刘现磊和腾讯云CODING高级解决方案架构师何文强也带来了基于腾讯云自身的DevSecOps研运安全实践。
据刘现磊介绍,腾讯一直十分注重开发安全的建设,2019年以来,伴随着云原生、微服务、容器技术的引入和落地,形成一套成熟的开发安全机制,并支持了腾讯会议在安全前提下实现了40天迭代14个版本的“奇迹”;而CODING DevOps一站式研发管理平台入选了2022年中国信息通信研究院“软件质效技术创新优秀案例”,在制品扫描、静态应用安全检测上也有成熟的规模化应用。
在IDC最新发布的《MarketScape: 中国DevOps平台市场厂商评估》报告中,腾讯云CODING 凭借在技术能力、客户资源、实践案例、生态伙伴等方面的领先优势,成功入选中国DevOps平台市场厂商评估领导者位置,并在战略和能力两大维度位列国内领先位置。
Xcheck静态应用安全监测系统
为DevOps场景而生的
新一代SAST工具
“缺陷是天生的,漏洞是必然的”。统计数据表明,程序员每写1000行代码,就会出现1个逻辑性缺陷,这是无可避免的概率问题,解决方法之一就是对代码进行检测。
腾讯开发安全高级产品经理刘天勇表示,作为直接对源代码进行检查的白盒检测产品,腾讯Xcheck可作为独立的代码审计平台,用户可以通过 Web 页面来使用;也可以可以通过API、命令行工具进行调用,Xcheck支持包括代码仓库以及缺陷管理系统的对接,提供常见CI/CD平台插件、本地 IDE 插件。目前已深度支持GitLab、JenKins、CODING、蓝鲸等DevOps平台。
腾讯Xcheck依托污点追踪引擎、规则匹配引擎双引擎架构,速度快、误报低,非常适合在DevOps流水线场景集成使用,且支持多种语言种类,其灵活拓展能力便于用户自定义运营规则,覆盖风险类型包括SQL注入、命令注入等符合污点传播模型的安全风险,以及错误配置类、硬编码类、敏感信息泄露类多种安全风险类型,可满足用户不同场景需求。
在技术创新方面,腾讯Xcheck拥有一套自研的代码分析模糊解析器,无需依赖编译,便可将代码快速转换成抽象语法树,解析速度大幅提升,同时,其精细化模型核心检测算法已经过腾讯内部每年数百万次任务的打磨,可准确找到污点的传播路径。
在产品核心优势方面,腾讯Xcheck可精确识别各种语言特性,扫描速度达到每秒千行到万行,是同类产品的几十倍;同时检出高、误报低,针对符合污点传播模型的漏洞,其误报率低于10%;此外灵活强大的扩展易编写、可调试,可批量降低漏报误报。
BSCA二进制软件成分分析工具
有效应对供应链安全风险
腾讯安全科恩实验室产品运营经理赵洪阳介绍道,78%-90%的现代应用融入了开源组件,平均每个应用就包含147个开源组件,开源组件引入带来的潜在供应链安全风险日益严峻。
腾讯BSCA二进制软件成分分析工具,通过识别相关开源组件,自动化分析漏洞、许可、敏感信息泄露等软件供应链安全风险,是一款以二进制软件成分分析为核心的检测平台,可帮助用户检测软件制品、建立软件物料清单、发现软件制品风险、规避开源安全及合规性问题。
具体而言,腾讯BSCA具备三大亮点:
首先是强大的解析及分析能力,可支持全格式制品扫描包括常见固件、镜像、文件系统、压缩文件等20 文件格式,同时支持支持Linux、Android、QNX等常见系统,以及x86/x64、MIPS、ARM/ARM64、PowerPC等主流CPU架构,涵盖移动端、嵌入式、后台开发、云原生等各种开发场景,有效应对各类软件检测需求。
其次,腾讯BSCA拥有腾讯安全独家维护的开源组件知识库,涵盖常见近2k种license自有license表达式、积累了10w 第三方库、沉淀了3000 产品信息,结合国内外开源漏洞库进行信息校验和中文翻译,提供快速准确的开源数据信息更新,为开发、测试、运维等环节提供全面的开源知识储备;
此外,腾讯BSCA还支持全局管理SBOM功能,功能覆盖风险排查及预警、资产管理,支持与Ops系统打通,由运维人员进行自定义排查,有效降低问题发现时间、减少安全风险和知识产权风险。
腾讯安全积极探索"安全 AI"交叉领域的场景应用,科恩实验室的二进制安全研究论文曾先后入选国际人工智能领域顶级学术会议AAAI、NeurIPS。此次发布的开发安全产品上也大量应用了科恩实验室的前沿技术能力。
腾讯Xcheck和腾讯BSCA两款开发安全工具的推出,进一步优化完善了腾讯DevSecOps整体解决方案。全新发布的开发安全新品,将有效助力开发运维在“计划、创建、验证、预发布、发布、预防、检测、响应、预测、适应”十个阶段,根据实际业务需要,有步骤、分阶段、分批次嵌入所需要的安全活动,进而提升应用软件安全质量,实现从源头降低安全风险。