随着软件供应链安全体系在互联网、金融等领域逐步成熟,关键领域正加速迈向以 MLOps、软件工厂为核心的新型研发生态。在这一过程中,面对代码安全、依赖合规、系统可信等多重挑战,传统人工审查模式已难以满足国家级高安全性要求。
Gitee Scan 集成 SAST(静态应用安全测试)、DAST(动态应用安全测试)、SBOM(软件物料清单)等关键技术,面向关键领域企业提供自动化安全检测能力,为软件供应链构建「可视、可控、可追溯」的防线。
关键领域软件系统需满足比通用商业软件更为严苛的安全标准,挑战主要包括:
作为 Gitee DevSecOps 平台中质量保障的核心组件,Gitee Scan 担纲软件工厂中的质量车间角色,贯穿从代码提交到漏洞修复的全过程,构建覆盖 SAST、DAST、SBOM 的安全扫描闭环。
Gitee Scan 采用自主研发的 BCA 扫描引擎,源自独创代码执行链分析技术(已申请专利),结合 AST 静态分析、控制流/数据流建模与指纹匹配算法,实现高精度漏洞识别。
目前,已上线的有 BCA–Kotlin、BCA-Java、BCA-OC、BCA-Cobol、BCA-SQL、BCA-C/C++,覆盖 CWE、OWASP Top 10、GJB8114 等主流规则体系。
支持分布式部署与高并发扫描,结合权限隔离与多租户机制,实现平台级弹性伸缩与私有部署能力。
与 Gitee Team 集成,提供扫描-跟踪-整改-审计全流程联动,支持问题归属与整改责任划分,留痕可追溯,满足关键领域内审要求。
基于自研 BCA 引擎,解析代码结构与执行路径,识别高危漏洞(如注入类、缓冲区溢出、硬编码凭据等),并对超长函数、圈复杂度、重复代码等可维护性指标进行分析。误报率控制在 10% 以下,处于行业领先水平。
自动生成软件物料清单(SBOM),支持对开源组件、第三方依赖、内部模块的全量溯源,标注许可证信息与风险等级,助力组件可信评估。
结合模拟输入与接口探测,自动发现服务层漏洞,提升运行时风险发现覆盖面。与 SAST 形成静动结合检测体系。
同时,Gitee Scan 正在探索 AI 技术在安全能力中的深度融合,推进「自动判断 + 智能修复」能力落地:
Gitee DevSecOps 是一站式国产化研发与交付平台,集成了代码托管(Code)、项目协作(Team)、持续集成(CI)、持续部署(CD)、代码安全(Scan)、数据洞察(Insight)等多项能力,致力于打造具备全生命周期管控能力的现代软件工厂。
平台设计充分考虑关键领域行业对安全性、可控性、合规性的极高要求,具备以下核心特征:
在多个国家级重大项目与关键领域单位落地实践中,Gitee DevSecOps 已成为构建「自主、可控、高效、安全」的软件工程体系的重要基石。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。