8月18日，記者了解到，螞蟻數(shù)科再度加碼云原生PaaS領(lǐng)域，SOFAStack率先完成全棧軟件供應(yīng)鏈安全產(chǎn)品及解決方案的布局，包括靜態(tài)代碼掃描Pinpoint、軟件成分分析SCA、交互式安全測(cè)試IAST、運(yùn)行時(shí)防護(hù)RASP、安全洞察Appinsight等，幫助客戶應(yīng)用軟件實(shí)現(xiàn)“發(fā)布前檢測(cè)，運(yùn)行時(shí)免疫”。

軟件供應(yīng)鏈安全合規(guī)已經(jīng)成為各行業(yè)關(guān)注的焦點(diǎn)，軟件產(chǎn)品在開(kāi)發(fā)、測(cè)試、上線的各個(gè)階段都存在引入各類(lèi)安全風(fēng)險(xiǎn)的可能，例如危險(xiǎn)開(kāi)源組件的使用、自研代碼缺陷漏洞引入、容器鏡像漏洞引入等，這些風(fēng)險(xiǎn)導(dǎo)致軟件系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。

云原生安全既是一種全新安全理念，也是實(shí)現(xiàn)云戰(zhàn)略的前提。以云原生的技術(shù)構(gòu)建一體化安全體系部署，將云服務(wù)與安全結(jié)合才能達(dá)到云上業(yè)務(wù)部署、開(kāi)發(fā)、運(yùn)維、響應(yīng)的全生命周期高質(zhì)量發(fā)展。近些年，各大云計(jì)算廠商也都紛紛加大安全產(chǎn)品的投入，尤其是在多云架構(gòu)趨勢(shì)下，高復(fù)雜度、多重場(chǎng)景下，企業(yè)對(duì)一站式云原生應(yīng)用安全防護(hù)解決方案的需求陡增。

對(duì)SOFAStack這類(lèi)通用型PaaS平臺(tái)，安全業(yè)務(wù)至關(guān)重要。據(jù)知情人士透露，早在今年上半年，該團(tuán)隊(duì)已完成產(chǎn)品層面的全面整合，并成立專(zhuān)門(mén)團(tuán)隊(duì)進(jìn)一步提升云原生平臺(tái)在安全方面的競(jìng)爭(zhēng)優(yōu)勢(shì)。

其中靜態(tài)代碼安全掃描產(chǎn)品Pinpoint，于近日首批入選中國(guó)信通院“軟件供應(yīng)鏈安全”產(chǎn)品名錄，并通過(guò)了公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測(cè)中心權(quán)威測(cè)評(píng)，這一認(rèn)證標(biāo)志著該產(chǎn)品具有國(guó)內(nèi)領(lǐng)先的安全技術(shù)和質(zhì)量保障。

靜態(tài)代碼掃描是一種代碼分析技術(shù)，指在不運(yùn)行代碼的方式下，通過(guò)詞法分析、語(yǔ)法分析、控制流、數(shù)據(jù)流分析等技術(shù)對(duì)軟件代碼進(jìn)行掃描，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)，從而為軟件開(kāi)發(fā)與運(yùn)行保駕護(hù)航。

根據(jù)官方介紹，Pinpoint通過(guò)自研的分析引擎，能夠在均衡分析精度、速度、深度的同時(shí)保證分析結(jié)果，無(wú)需構(gòu)造測(cè)試用例即可自動(dòng)尋找軟件編碼錯(cuò)誤，可以讓程序員迅速理解和修復(fù)問(wèn)題，從而投入更多的時(shí)間到創(chuàng)造性的工作中。

目前，該產(chǎn)品已是國(guó)內(nèi)應(yīng)用實(shí)踐最廣泛的靜態(tài)代碼安全產(chǎn)品之一，在金融、制造、教育、互聯(lián)網(wǎng)等行業(yè)規(guī)模落地實(shí)踐，包括南京銀行、浙江農(nóng)信、中泰證券、珠海格力、廣東電網(wǎng)等。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。