2023 年 8 月 18 日,蚂蚁数科再度加码云原生 PaaS 畛域,SOFAStack 率先实现全栈软件供应链平安产品及解决方案的布局,包含动态代码扫描 Pinpoint、软件成分剖析 SCA、交互式平安测试 IAST、运行时防护 RASP、平安洞察 Appinsight 等,帮忙客户应用软件实现“公布前检测,运行时免疫”。
软件供应链平安合规曾经成为各行业关注的焦点,软件产品在开发、测试、上线的各个阶段都存在引入各类平安危险的可能,例如危险开源组件的应用、自研代码缺点破绽引入、容器镜像破绽引入等,这些危险导致软件系统的整体平安防护难度越来越大。
云原生平安既是一种全新平安理念,也是实现云策略的前提。以云原生的技术构建一体化平安体系部署,将云服务与平安联合能力达到云上业务部署、开发、运维、响应的全生命周期高质量倒退。近些年,各大云计算厂商也都纷纷加大平安产品的投入,尤其是在多云架构趋势下,高复杂度、多重场景下,企业对一站式云原生利用平安防护解决方案的需要陡增。
对 SOFAStack 这类通用型 PaaS 平台,平安业务至关重要。据知情人士走漏,早在往年上半年,该团队已实现产品层面的全面整合,并成立专门团队进一步晋升云原生平台在平安方面的竞争劣势。
其中动态代码平安扫描产品 Pinpoint,于近日首批入选中国信通院“软件供应链平安”产品名录,并通过了公安部计算机信息系统安全产品质量监督检测核心权威测评,这一认证标志着该产品具备国内当先的平安技术和品质保障。
动态代码扫描是一种代码剖析技术,指在不运行代码的形式下,通过词法剖析、语法分析、控制流、数据流剖析等技术对软件代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标,从而为软件开发与运行保驾护航。
依据官网介绍,Pinpoint 通过自研的剖析引擎,可能在平衡剖析精度、速度、深度的同时保障剖析后果,无需结构测试用例即可主动寻找软件编码谬误,能够让程序员迅速了解和修复问题,从而投入更多的工夫到创造性的工作中。
目前,该产品已是国内利用实际最宽泛的动态代码平安产品之一,在金融、制作、教育、互联网等行业规模落地实际,包含南京银行、浙江农信、中泰证券、珠海格力、广东电网等。