首页 > 传媒 > 关键词  > 正文

SCA能力再获认可!腾讯Xcheck通过可信开源治理工具能力评估

2023-09-23 13:30 · 稿源: 站长之家用户

9月21日,中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会联合主办的2023OSCAR开源产业大会在京召开,会上发布了2023可信开源最 新评估结果。其中,腾讯Xcheck-SCA开源威胁管控平台通过了可信开源治理工具评估。继去年通过静态应用程序安全测试(SAST)工具能力要求评估之后,XCheck再次获得了信通院认可。

围绕“安全”“合规”“持续”“健康”的开源生态发展目标,中国信通院在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。

其中,可信开源治理工具评估(SCA)围绕具有开源组成和安全性分析功能的开源组件扫描工具进行针对性评估,聚焦安全产品的基本能力、技术支持能力、易用性、部署能力、安全性及兼容性,腾讯Xcheck凭借优异的性能和漏洞检测能力通过了此次能力评估。

近年来,开源软件以其开放、共享、便捷等特点迅猛发展,逐渐成为信息系统软件开发的基础,但也带来了包括技术风险、法律风险和供应链风险在内的挑战。在软件应用生命周期里,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长,为了规避开发阶段以及第三方供应链引入的安全威胁,DevSecOps理念持续升温,软件成分分析(SCA)能力和工具成为了安全厂商的研发焦点。

在大会开源安全和供应链分论坛上,腾讯开发安全产品规划负责人刘天勇带来了《二进制SCA技术在软件供应链安全中的实践分享》。刘天勇介绍,Xcheck-SCA是腾讯自研的新一代软件成分分析系统,具备源码SCA和二进制SCA两大能力,以及数据全面、更新及时的开源组件知识库,经过长期内部实践及不断迭代优化,已建成了优秀开源组件检测能力,有效保障软件供应链安全。

(腾讯开发安全产品规划负责人刘天勇)

其中,二进制 SCA 能力是腾讯安全的独 家技术优势。腾讯Xcheck二进制SCA能力是基于二进制软件成分分析技术,全方位、高精度的对二进制构建物进行分析,无需源代码,一键上传目标文件,即可输出依赖组件,并有效准确识别风险及检验软件许可协议合规。

作为软件成分分析系统,腾讯Xcheck-SCA有效应对了传统开源组件分析检测不全、检测不准、知识库信息维护难三大痛点,在安全漏洞检测层面,腾讯Xcheck-SCA支持各种开发语言的源代码及常见固件、镜像、文件系统、压缩文件等多语言、全格式、多维度的深度扫描,漏洞检测效率高、误报低。

腾讯Xcheck-SCA搭载腾讯安全独 家维护的开源组件知识库,开源组件数量500w+,开源组件版本数量7000w+,数据量、准确性、更新频率都是国内最 高水平;拥有优秀的漏洞数据库,漏洞总量28w+,覆盖NVD、CNVD、CNNVD,由腾讯安全专家持续维护追踪漏洞,维护数据库的实时性、有效性和全面性。

在部署应用层面,腾讯Xcheck-SCA部署简单,具备丰富的平台管理功能和第三方对接集成功能,支持私有化部署,支持API接口、DevOps平台集成、缺陷跟踪系统集成、代码仓库集成、制品仓库集成等,全面适应企业软件开发运维的各类场景。

当前,“安全左移”理念成为趋势,将安全融入软件开发全生命周期成为企业有效收敛安全问题的不二之选。依托自身实践自研的技术工具和手段,腾讯安全将持续打磨安全产品,助力开源软件可信安全,实现从源头降低安全风险,帮助行业和企业践行“安全左移”理念。

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 信通院发布可信AI评估结果 360智脑能力达当前最高级别

    近日, 2023 南京人工智能产业发展大会正式开幕。会上,信通院发布可信 AI 评估结果,三六零(601360.SH,下称“360”)集团的自研认知型通用大模型 360 智脑以4+级别通过模型开发、模型能力两个模块验证,成为业界为数不多通过4+级别验证的大模型之一,这也是目前国产大模型达到的最 高能力级别。 此前,信通院联合大模型工作组百余家单位,共同研制了《大规模预训练模�

  • 超13万个大模型!微软增强ChatGPT等开源模型,训练、推理能力

    著名AI模型开源平台HuggingFace上有超过320,000个大模型,并且每天保持高速增长。据统计只有大约6,000个模型支持ONNX格式,但微软表示,实际上有超过130,000个模型支持该格式。在HuggingFace开源平台上还有10万个模型不支持ONNX格式,鼓励更多的技术研究机构、开源项目加入到ONNX社区,以通过ONNXRuntime增强开发效率。

  • 轻量级代码库分析工具ctoc开源

    ctoc是一个轻量级工具,用于分析代码库的令牌级别信息。它是基于gocloc的,具有极快的性能。这对于与不同模型的互操作性非常重要。

  • MagicSchool AI 为现代教育者提供50多种AI工具,助力教学

    随着生成式AI的发展,教育领域也开始积极应用这一技术,以提升教学质量。MagicSchoolAI是一款基于OpenAI的ChatGPT技术开发的AI工具,旨在帮助教师在课堂中应用生成式AI。虽然目前该工具是免费的,但预计将很快推出每月9.99美元的高级版本,与Eduaide和Diffit等竞争对手提供类似的服务。

  • AI Score My Site:AI驱动的SEO工具

    AIScoreMySite是一款创新的工具,旨在帮助用户了解他们的网站在AI驱动的搜索引擎上的排名和可发现性,并提供相应的改进建议。在今天的数字化时代,网站的排名对于吸引流量和潜在客户至关重要。随着AI在搜索领域的广泛应用,利用SiteSpeakAI提升网站SEO将变得尤为关键。

  • Check Point:电动汽车大量普及,五条建议确保安全无虞

    ·针对电动汽车的网络攻击激增380%,其攻击手段主要是破坏充电站的正常运行和汽车本身的功能,以及窃取其中存储的数据。·远程车辆劫持、对充电站的潜在威胁以及恶意连接中断是危及电动汽车安全的三大网络风险。为了从这项新技术中充分获益,我们必须有效应对现有及新兴挑战并确保软硬件部署的安全性。

  • 聆心智能开源定制角色对话交互模型CharacterGLM-6B

    聆心智能发布了一个名为CharacterGLM的模型,用于定制化角色进行对话交互。这个模型基于ChatGLM模型,有6B、12B和66B三个不同参数量的版本。他们还提供了一些交互样例,展示了不同类别角色的对话交互效果。

  • Check Point 在Forrester 最新零信任平台提供商报告中被评为领导者

    Check Point 在“市场占有率”类别中排名第一,并在 13 项标准中荣获最高分2023 年 9 月, 全球领先的网络安全解决方案提供商Check Point� 软件技术有限公司 在《Forrester Wave™:2023 年第三季度零信任平台提供商》报告中被评为领导者。全球领先的研究和咨询公司 Forrester 在其报告中指出,Check Point“为集中式管理和可用性树立了新标杆”。Check Point 为十万多家各种规模的企业提供保护。

  • 幻觉处理国内最优!530亿参数Baichuan2推理能力飙升100%,首次开放API商用

    【新智元导读】昨天,Baichuan2-53B正式发布!首次开放API,意味着百川大模型开始正式进军商用了。模型的数学和逻辑推理能力都大幅飙升,对于幻觉的处理,已经在国内遥遥领先。已经有一大波令人印象深刻的创新,正在土壤中被酝酿了。

  • AMD宣布收购AI软件初创公司Nod.ai 以增强开源AI能力

    当地时间周二,芯片制造商AMD宣布收购人工智能软件初创公司Nod.ai,以增强其开源AI能力。AMD表示,它已签署收购Nod.ai的最终协议。在宣布收购Nod.ai之前,AMD收购了专注于推理的法国人工智能初创公司Mipsology。

热文