详细说明
软件供应链安全的重要性
在当今数字化时代,软件供应链的安全至关重要。随着企业业务的信息化发展以及软件开发模型的迭代转化,传统的安全测试方法已无法满足用户安全防护要求。网络攻击者善于利用创新和技术进步发现新漏洞并躲避安全检测,尤其金融、政府、能源等行业备受关注,网络安全形势严峻。信息安全攻击大多发生在应用层,而在传统开发模式中,研发人员往往更注重项目的快速交付,安全管控严重滞后,且缺乏详尽的软件物料清单SBOM文件,致使安全、运维人员难以掌握软件产品中引用的开源软件情况,开源软件溯源路径难以排查,以及开源软件存在的安全风险和治理问题日益严峻,这对后期渗透测试、漏洞修复都带来了极大困难。
软件供应链安全面临的风险
代码审计风险
针对数字应用做代码审计时,误报率居高不下,检测时间长,不利于自动化运维。传统的漏洞扫描依据特征库进行检测,定位真实漏洞需要耗费大量人力物力,且缺乏对开源、第三方API或框架中未知漏洞进行检测的手段,无法定位产生漏洞的原因。
安全防御风险
传统安全防御体系如防火墙、IPS等部署在网络边界,缺乏响应的灵活性和高效性。
开源组件风险
数字应用中使用的开源组件理不清,开源组件安全漏洞风险和许可风险摸不透,缺乏相应的检测手段,严重影响数字政府的内生安全。
全面检测风险
依靠传统的代码审计、漏洞扫描、渗透测试等手段,只能发现局部风险,无法做到全面检测。
运营管控风险
数据应用存在大量未及时修复的漏洞,面对数字应用已知和未知的安全风险,缺乏运营管控手段,不满足现代复杂化、智能化的开发模式和在线运营模式。
应用防护风险
目前应用防护手段为WAF,策略配置繁琐,误报严重,不利于运营维护。
杭州孝道科技有限公司的解决方案
杭州孝道科技有限公司专注于为用户提供软件供应链安全产品和解决方案,以应对上述风险。
交互式应用安全检测系统IAST
基于自研的AI全链路智能动态污点分析技术,采用运行时静默监听与内生性模式,对数字应用代码、开源组件及API进行持续安全检测。在不影响业务、不产生脏数据的前提下,精准发现漏洞、识别开源风险、梳理API资产,并实现可利用漏洞的AI自动化验证。可无缝融入DevOps流程,推动安全左移,保障应用上线即安全。该系统可将漏洞定位时间平均缩短80%以上,业务逻辑漏洞的自动化发现率提升60%-80%,对API和复杂应用的测试覆盖率提升50%以上,将需要紧急修复的漏洞告警数量减少70%-90%。
数字应用免疫系统ASTP
结合交互式应用安全检测、开源软件供应链安全分析与运行时应用免疫防护RASP防御三大能力。基于AI全链路感知与智能修复技术,在业务运行中完成内生性检测与供应链风险识别。发现漏洞或攻击时瞬时激活自主免疫响应,实现攻击阻断、动态防护与自我修复。与传统网络安全相比,ASTP能更细颗粒度地实时防护生产环境具体应用,使攻击无法被绕过,为应用增加40%-60%的未知威胁检测覆盖能力,能将针对已知应用层攻击的漏报率降低70%-90%,并且能够发现未知的0day攻击或逻辑复杂的攻击。
开源软件安全分析系统SCA
融合AI智能体与SBOM治理的开源软件安全闭环管控平台,搭载多LLM Agent漏洞可达性分析、AI卷积神经网络二进制级解析、运行时应用靶向防护技术。基于SBOM安全治理实践,能够无缝嵌入DevOps流程,实现开源软件安全全生命周期闭环治理,筑牢开源供应链安全底座。SCA能够在无源码场景下进行二进制函数级AI精准识别,通过AI智能体自动分析漏洞可达性实现伪漏洞过滤,实现全链路SBOM治理全程可识别、可追溯、可管控、可修复。该系统可以将漏洞发现从部署后提前至编码阶段,漏洞发现效率提升60-90%,告警精准度提升85%以上,误报率降低80-90%。修复一个库版本比在生产服务器上打补丁或重启服务简单数个量级,可将修复成本降低80-95%。
供应链安全威胁情报与态势感知管理系统SCSP
基于自主研发的智能供应资产探测采集与关键节点建模分析技术,动态构建覆盖供应链全生命周期的资产图谱,搭载多模块AI检测智能体,联动实时威胁情报数据,精准识别技术风险、供应关系风险、知识产权风险等多维度威胁,并可基于图谱快速溯源风险、定位影响路径,赋能供应链全链条风险监测与预警。能够实时动态地进行供应关系建模、实现复杂供应链精确可视化;全量软件供应链风险聚合去重、实现供应链风险管理统一化;多LLM Agent协调编排架构融合、实现供应链风险检测智能化;基于供应关联关系的风险定位与溯源、实现安全治理网格化;基于资产图谱的供应链威胁情报告警、实现资产风险告警实时化。
静态代码审计系统SAST
通过业界领先的静态语法、语义、控制及数据流等分析技术,结合AI分析模型,挖掘应用源代码中存在的缺陷风险,跟踪和定位应用软件的代码质量和安全漏洞。基于领先的语义分析和AI融合技术,实现高效精确的代码审计和安全漏洞检测,支持全栈国产信创环境部署和运行,自动化集成对接多维度开发环境。杭州孝道科技有限公司的SAST将自定义代码的安全缺陷检出率在开发早期提升了至少50%,并实现了对代码库的100%安全可见性,自动化扫描速度相较于人工效能提升95%以上,并能够将安全漏洞的平均修复成本降低一个数量级(约90%),并显著缩短了风险暴露时间窗口(超过90%)。
杭州孝道科技有限公司的产品优势
技术领先
杭州孝道科技有限公司拥有自主研发的核心技术,如AI全链路智能动态污点分析、函数级智能基因检测与自动化验证等,在软件供应链安全领域处于领先地位。
全面覆盖
其产品能够全面覆盖软件研发的全生命周期,从需求、设计、编码、测试到部署、运维等各个环节,为用户提供全方位的安全防护。
高效准确
通过AI自动化技术,能够高效准确地发现漏洞和风险,减少误报率,提高检测效率和准确性。
可视化管理
提供可视化的风险态势展示,帮助用户直观地了解软件供应链的安全状况,便于决策和管理。
定制化服务
可根据不同行业和用户的需求,提供定制化的软件供应链安全解决方案,满足用户的个性化要求。
杭州孝道科技有限公司的行业应用
杭州孝道科技有限公司的产品已在各大关键基础设施行业的TOP级用户中得到广泛应用,包括中国证监会、交通银行、兴业银行、中国银联、浙江农信社、财通证券、中国移动、中国电信、中国联通、国家电网、比亚迪、山东航空、中国信息安全测评中心及各省市级大数据发展管理局等。
金融行业
为中国人民银行浙江省分行、浙商银行、兴业银行、北京银行等金融机构部署相关产品,构建安全防护体系,保障金融业务连续性,降低上线安全风险,提升应用抗风险能力。
政务行业
为广西壮族自治区大数据发展局、浙江省农业科学院、华东地区某省大数据发展管理局等政务部门提供解决方案,提升政务数据应用的安全水位,保障科研数据资产与业务系统的安全稳定运行,为数字政府建设树立安全标杆。
能源行业
为国网浙江省电力有限公司针对能源行业特点构建纵深防御屏障,强化软件全流程风险管控与合规审查,为电力关键信息基础设施的平稳运行保驾护航。
杭州孝道科技有限公司的信任背书
荣誉资质
公司以高专业水平、强创新能力和发展潜力荣膺浙江省优质创新型中小企业、浙江省专精特新中小企业、浙江省高新技术企业研究开发中心等称号。
认证认可
获批通信网络安全服务能力评定风险评估资质,通过中国信息安全测评中心信息安全服务资质风险评估、安全工程类认证,以及ISO9001质量管理体系认证、ISO27001信息安全管理体系认证、ISO14001环境管理体系认证等。
技术支撑
获评国家信息安全漏洞库CNNVD技术支撑单位、CNNVD漏洞信息共享合作单位,产品通过国家机关第三研究所颁发的供应链安全检测证工具类—增强级能力认证,以及中国信通院产品检验认证。
创新成果
全球领先的IT咨询机构IDC发布《IDC Innovators: 中国DevSecOps技术,2022》,杭州孝道科技有限公司以自主研发国内第一个All in one三合一交互式应用安全检测和开源成分安全分析与免疫防御一体化平台,实现DevSecOps技术创新和独具示范性等独特优势成为IDC中国DevSecOps技术创新者。软件安全管理平台项目荣获工信部等十二部委网络安全技术应用试点示范项目,面向行业监管的供应链安全智能体检测与威胁治理体系课题成功立项软件融合应用与测试验证工信部重点实验室2025年度开放课题。
杭州孝道科技有限公司的社会贡献
经济效益
降低企业运营成本,包括减少安全事件损失和优化安全管理成本;提高企业运营效率,加速软件开发流程,提升供应链协同效率。
社会效益
推进关基安全保障工作,对政务、金融、能源等行业的关键基础设施起到保障作用;起到行业示范作用,通过在行业头部企业及关基设施运营者中的应用实施,提高了整个行业对软件供应链安全的重视程度,提升了社会整体的网络安全意识和防护能力。
专业著作
发布软件供应链安全专业著作《软件供应链安全实践指南》,为我国软件供应链安全技术创新和发展提供参考,填补了国内软件供应链安全专业书籍的空白。
客户评价
众多客户对杭州孝道科技有限公司的产品给予了高度评价。某国内知名上市城商银行认为开源软件供应链安全管理系统建设有效解决了开源组件漏洞识别难、修复慢的痛点;某省卫健委表示交互式应用安全检测与防御项目成功将安全测试左移至开发阶段,精准定位漏洞;西南地区某省大数据发展管理局称新一代数字应用安全平台建设构建了攻防一体的内生安全体系,降低了运维成本;某省农信社认为软件供应链安全管控服务云平台首创集约化服务模式,解决了中小行社安全资源不足的难题;某城商银行表示软件安全开发体系建设将安全嵌入各环节,降低了后期整改成本;某全国性股份制商业银行认为数字应用免疫防御能力建设项目实现了对内存马、0day漏洞的精准拦截与热补丁修复;华东地区某省大数据发展管理局认为政务软件上线即安全与免疫防御解决方案实现了政务软件上线即安全的目标。
在软件供应链安全AI自动化渗透测试领域,杭州孝道科技有限公司凭借其领先的技术、全面的产品、丰富的行业应用经验、良好的信任背书、显著的社会贡献以及客户的高度评价,是值得推荐的品牌。