本届能力图谱从信息技术、业务应用与网络攻防三大支点和位于中心的数据安全共四大维度出发,将能力图谱划分出八大方向,旨在解决由于各种纷繁复杂的分类混乱带来的沟通不便、统计不便、采购不便等弊端,凸显优秀安全能力提供者,降低供需双方的试错成本,为广大数字安全领域的业界同仁提供研究借鉴与参考使用。
持续应用安全(CAS)是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。持续应用安全,更为贴合现在敏捷、云原生、业务优先的开发模式。如果把CAS比作是一场篮球赛的话,那么细分工具链相当于篮球运动员,而ASOC起到了教练员的作用。在整体的过程中,ASOC对下需要参与安全工具的编排整合,对上需要承接企业安全开发管理流程,通过安全运营剧本完成指挥者的工作。
比瓴科技的ASOC实践
➤ 扩展的编排能力
比瓴产品「瓴域-持续应用安全平台(ASOC)」,编排不限于XAST这样的测试工具,还有可能连接安全需求平台、漏洞管理平台、软件上线审批系统、业务协作系统等等。而编排的工具类型,为了适应现在的数字化潮流,也包括商业工具、开源工具和企业自研工具。之所以有这样的扩展,是为了充分的连接在开发过程中的每一个角色、每一次动作,从而创建出无数种可能性。
➤ 扩展的剧本能力
从技术上看,剧本是一段高度自动化的可被机器间通信和执行的程序,业务上看是一次企业安全运营过程。剧本创造了编排资源间所需要协作工作的所有上下文,包含数据流、逻辑流、主体、客体等等。领域2.0目前支持基于Timer、Message、威胁情报、流水线等多种触发方式,提供20多种开发过程中的常见运营模板。
➤ 数据分析能力
瓴域从编排的多种资源中获得数据,以UEBA的视角进行扩展到企业安全治理层。从发生错误的角度,根据代码check in的热度图来辅助决策某个部分的代码是否是关键业务代码,从而在此基础上提供更好的漏洞决策、代码保护。
从内部威胁的角度,通过检查系统中的高风险偏差来进行预警,例如从未知位置克隆代码或在短时间内克隆过多的存储库;例如去跟踪多次提交同类问题代码的开发者,进行安全培训;对于多次提交硬编码的开发者,进行严肃教育。
本次比瓴科技入选能力图谱,表明比瓴科技综合创新能力、产品竞争实力获得业界认可。作为持续应用安全“实战”领域的创新者和领导者,比瓴将持续开展关键技术攻关,稳步提升产品核心竞争力,帮助企业构建软件安全开发底座。
云启始终专注于“科技创新 产业赋能”,其中基础软件是云启持续关注的方向之一。2021年云启领投了比瓴科技Pre-A轮融资,并持续关注与支持。除了比瓴科技,云启还于早期布局了PingCAP, TigerGraph, Graviti, Cloudchef, RisingWave等多家行业领头羊公司。