组件式开发的常态化,使应用程序组件中的漏洞层出不穷,软件成份及成份风险的可见性,成为供应链风险治理的重要一环。在此背景下,越来越多企业将软件成分分析(SCA)作为开发的重要组件贯彻到了开发流程中去,成为企业代码开发的安全基线。
目前,SCA技术应用的政策要求、用户需求和产品规范等都在快速发展中。而快速发展的市场往往会出现鱼龙混杂的炒作泡沫。SCA 作为一种新兴的软件代码安全能力,多数企业用户对其技术原理、功能价值以及应用方式还不是很清楚,对选型合适的 SCA 方案存在很多困惑。
为了更好地了解企业用户对软件成分分析工具的需求及应用现状,总结SCA技术成功应用经验,安全牛基于第9版全景图调研,特别邀请了安普诺信息(悬镜安全)、安天、比瓴科技、墨菲安全、奇安信、思客云6家国内软件成分分析SCA技术领域代表性厂商,联合发起《软件成分分析SCA应用指南》报告研究(以下简称“报告”)。即日起,报告调研工作正式启动。
有奖问卷调查
为了进一步了解目前国内企业用户对SCA的应用需求和使用现状,本次报告研究特面向软件供应链安全相关的机构、企业用户及从事开发安全工作人员展开专项问卷调查活动,扫描下方二维码即可参与。报告发布后,我们将会为有效参与完成的受访者提供电子版报告和价值200元的《2022安全牛精选文章100篇》书籍各一份。
研究重点
综合运用资料检索、问卷调查、数据分析、企业访谈等研究方式,向企业用户传递 SCA 的技术价值与关键能力,提升供给侧技术和产品能力的转换;
帮助企业CISO 和开发管理者更全面的理解 SCA技术以及SCA工具在软件开发流程中的重要性,促进 SCA技术的采用率,进一步帮企业落实和贯彻安全左移的能力建设要求;
研究梳理 SCA 技术应用的代表性行业案例,为企业落地 SCA 技术应用提供可借鉴的经验参考;
发现当前行业中技术先进、可落地的国产 SCA 工具及方案,从适用性、可用性、易用性等维度进行方案分析与评价,为用户选型提供参考。
研究提纲
第一章 软件成分分析概述
1.1 组装式应用开发的安全风险和挑战
1.2 软件成分分析的概念
第二章 软件成分分析发展现状
2.1 国外的政策环境及标准
2.2 我国的政策环境及标准
2.3 国内外供需市场分析
第三章 SCA的功能及应用特性
3.1 工作原理及功能结构
3.2 SCA能力差异化分析
3.3 应用场景及典型应用方式
第四章 行业应用实践案例
第五章 应用组件安全能力构建的难点及建议
5.1 能力构建难点
5.2 能力构建和选型建议
第六章 总结及未来展望
第七章 相关参考资料
附录:国内代表性厂商能力说明