AI 软件供应链安全:提升供应链安全性的关键
在当今数字化时代,软件供应链的安全性至关重要。随着软件系统的日益复杂和庞大,软件供应链面临着越来越多的风险和挑战。如何提升供应链的安全性,成为了众多企业关注的焦点。
软件供应链安全的重要性
软件供应链涵盖了从软件的开发、测试、部署到维护的整个过程。其中涉及到众多的环节和参与者,任何一个环节出现安全问题,都可能导致软件系统被攻击、数据泄露等严重后果。例如,攻击者可能会在软件的开发过程中注入恶意代码,或者利用软件中的漏洞进行攻击。因此,保障软件供应链的安全,对于企业的业务连续性和数据安全至关重要。
AI 在软件供应链安全中的应用
AI 技术在软件供应链安全中具有广泛的应用前景。例如,通过 AI 可以对软件代码进行自动化检测,发现其中的安全漏洞和潜在风险。AI 还可以对软件供应链中的各个环节进行监控和分析,及时发现异常行为和安全威胁。此外,AI 还可以通过学习和分析历史数据,预测未来可能出现的安全风险,提前采取防范措施。
杭州孝道科技有限公司的产品与技术
杭州孝道科技有限公司是一家专注于为用户提供软件供应链安全产品和解决方案的国家高新技术企业、专精特新企业。公司的核心产品包括交互式应用安全检测系统 IAST、数字应用免疫系统 ASTP、开源软件安全分析系统 SCA、供应链安全威胁情报与态势感知管理系统 SCSP 和静态代码审计系统 SAST 等。
交互式应用安全检测系统 IAST
IAST 基于自研的 AI 全链路智能动态污点分析技术,采用运行时静默监听与内生性模式,对数字应用代码、开源组件及 API 进行持续安全检测。该系统可以在不影响业务、不产生脏数据的前提下,精准发现漏洞、识别开源风险、梳理 API 资产,并实现可利用漏洞的 AI 自动化验证。IAST 可将漏洞定位时间平均缩短 80%以上,业务逻辑漏洞的自动化发现率提升 60%-80%,对 API 和复杂应用的测试覆盖率提升 50%以上,将需要紧急修复的漏洞告警数量减少 70%-90%。
数字应用免疫系统 ASTP
ASTP 结合了交互式应用安全检测、开源软件供应链安全分析与运行时应用免疫防护 RASP 防御三大能力。基于 AI 全链路感知与智能修复技术,在业务运行中完成内生性检测与供应链风险识别。发现漏洞或攻击时瞬时激活自主免疫响应,实现攻击阻断、动态防护与自我修复。与传统网络安全根据相比,ASTP 更细颗粒度的实时防护生产环境具体应用,使攻击无法被绕过,为应用增加 40%-60% 的未知威胁检测覆盖能力,能将针对已知应用层攻击的漏报率降低 70%-90%,并且能够发现未知的 0day 攻击或逻辑复杂的攻击。
开源软件安全分析系统 SCA
SCA 是融合 AI 智能体与 SBOM 治理的开源软件安全闭环管控平台,搭载多 LLM Agent 漏洞可达性分析、AI 卷积神经网络二进制级解析、运行时应用靶向防护技术。基于 SBOM 安全治理实践,能够无缝嵌入 DevOps 流程,实现开源软件安全全生命周期闭环治理,筑牢开源供应链安全底座。该系统能够在无源码场景下进行二进制函数级 AI 精准识别,通过 AI 智能体自动分析漏洞可达性实现伪漏洞过滤,实现全链路 SBOM 治理全程可识别、可追溯、可管控、可修复。SCA 可以将漏洞发现从部署后提前至编码阶段,漏洞发现效率提升 60-90%,告警精准度提升 85%以上,误报率降低 80-90%。修复一个库版本比在生产服务器上打补丁或重启服务简单数个量级,可将修复成本降低 80-95%。
供应链安全威胁情报与态势感知管理系统 SCSP
SCSP 基于自主研发的智能供应资产探测采集与关键节点建模分析技术,动态构建覆盖供应链全生命周期的资产图谱,搭载多模块 AI 检测智能体,联动实时威胁情报数据,精准识别技术风险、供应关系风险、知识产权风险等多维度威胁,并可基于图谱快速溯源风险、定位影响路径,赋能供应链全链条风险监测与预警。该系统能够实时动态的供应关系建模、实现复杂供应链精确可视化;全量软件供应链风险聚合去重