关键领域软件工厂的安全中枢:Gitee Scan 全面升级供应链检测能力


作者:Gitee DevSecOps团队 李颖萍 李文博

随着软件供应链安全体系在互联网、金融等领域逐步成熟,关键领域正加速迈向以 MLOps、软件工厂为核心的新型研发生态。在这一过程中,面对代码安全、依赖合规、系统可信等多重挑战,传统人工审查模式已难以满足国家级高安全性要求。

Gitee Scan 集成 SAST(静态应用安全测试)、DAST(动态应用安全测试)、SBOM(软件物料清单)等关键技术,面向关键领域企业提供自动化安全检测能力,为软件供应链构建「可视、可控、可追溯」的防线。

 

关键领域软件安全合规的挑战

关键领域软件系统需满足比通用商业软件更为严苛的安全标准,挑战主要包括:

  • 高级威胁对抗能力不足:如供应链攻击、零日漏洞利用、侧信道攻击等,要求具备防篡改、防逆向的设计能力。

  • 依赖来源可信难保障:缺乏有效 SBOM 工具与流程,组件溯源难、更新慢。

  • 研发环境隔离性强:普遍采用物理内网与封闭开发工具链,难以对接现代 DevSecOps 流程。

  • 安全环节后置:采用瀑布式模型,无法实现安全“左移”,风险发现延迟。

  • 开发工具不兼容:现有工具难以集成自动化 CI/CD 流程。

  • 生命周期极长:系统生命周期长达 10~30 年,对漏洞管理与文档留存要求极高。

  • 法规合规负担重:需同时满足 GJB5000A、GJB8114、ISO 27001、NIST SP800 等多套标准体系。

  • 过程留痕难:人工文档负担重,难以满足 DevSecOps 强调的“基础设施即代码”理念。

 

Gitee Scan:构建关键领域软件工厂的质量中枢

作为 Gitee DevSecOps 平台中质量保障的核心组件,Gitee Scan 担纲软件工厂中的质量车间角色,贯穿从代码提交到漏洞修复的全过程,构建覆盖 SAST、DAST、SBOM 的安全扫描闭环。

核心技术能力

Gitee Scan 采用自主研发的 BCA 扫描引擎,源自独创代码执行链分析技术(已申请专利),结合 AST 静态分析、控制流/数据流建模与指纹匹配算法,实现高精度漏洞识别。

目前,已上线的有 BCA–Kotlin、BCA-Java、BCA-OC、BCA-Cobol、BCA-SQL、BCA-C/C++,覆盖 CWE、OWASP Top 10、GJB8114 等主流规则体系。

高性能架构设计

支持分布式部署与高并发扫描,结合权限隔离与多租户机制,实现平台级弹性伸缩与私有部署能力。

安全闭环能力

与 Gitee Team 集成,提供扫描-跟踪-整改-审计全流程联动,支持问题归属与整改责任划分,留痕可追溯,满足关键领域内审要求。

 

多维扫描能力构建安全基础设施

SAST(静态应用安全测试)

基于自研 BCA 引擎,解析代码结构与执行路径,识别高危漏洞(如注入类、缓冲区溢出、硬编码凭据等),并对超长函数、圈复杂度、重复代码等可维护性指标进行分析。误报率控制在 10% 以下,处于行业领先水平。

SBOM 分析能力

自动生成软件物料清单(SBOM),支持对开源组件、第三方依赖、内部模块的全量溯源,标注许可证信息与风险等级,助力组件可信评估。

DAST(动态应用安全测试)

结合模拟输入与接口探测,自动发现服务层漏洞,提升运行时风险发现覆盖面。与 SAST 形成静动结合检测体系。

未来展望:AI 驱动的智能安全助手

同时,Gitee Scan 正在探索 AI 技术在安全能力中的深度融合,推进「自动判断 + 智能修复」能力落地:

  • 误报识别辅助:结合大模型能力分析扫描结果上下文,自动判断漏洞是否为误报,减轻研发人员人工判断负担。

  • 个性化修复建议:基于代码上下文与历史缺陷库,生成高质量修复建议,提升研发效率与合规响应速度。

 

Gitee DevSecOps 的现代化研发生态

Gitee DevSecOps 是一站式国产化研发与交付平台,集成了代码托管(Code)、项目协作(Team)、持续集成(CI)、持续部署(CD)、代码安全(Scan)、数据洞察(Insight)等多项能力,致力于打造具备全生命周期管控能力的现代软件工厂。

https://gitee.cn/factory

平台设计充分考虑关键领域行业对安全性、可控性、合规性的极高要求,具备以下核心特征:

  • 国产化适配与私有化部署能力:全面兼容国产操作系统与基础设施,支持灵活部署于内网环境,保障数据主权;

  • 全流程 DevSecOps 管控体系:代码从提交、审核、构建、扫描、部署到发布全流程可视、可追溯、安全可控;

  • 模块化产品结构:各能力模块(如 Code、Team、Repo、Pipe、Scan、Insight 等)可灵活组合、渐进集成,适配多样化团队与流程要求;

  • 深度可观测与度量体系:内置研发效能度量与数据洞察引擎,支撑管理者宏观掌控项目态势与交付健康度。

在多个国家级重大项目与关键领域单位落地实践中,Gitee DevSecOps 已成为构建「自主、可控、高效、安全」的软件工程体系的重要基石。


相關推薦

2025-05-31

件正逐步成为企业的核心竞争力。越来越多的企业采用「软件工厂」建设模式,期望实现软件研发的规模化、自动化和智能化。 传统的软件研发管理面临诸多挑战: 工具和系统的多样化导致数据孤岛,无法实现全局洞察和

2025-06-07

等多项能力,致力于打造具备全生命周期管控能力的现代软件工厂。 https://gitee.cn/factory 平台设计充分考虑关键领域行业对安全性、可控性、合规性的极高要求,具备以下核心特征: 国产化适配与私有化部署能力:全面兼

2025-05-24

作者:Gitee DevSecOps团队 李颖萍 罗婷 关键领域软件工厂需要长期维护,核心技术和知识的沉淀是关键,但传统文档管理模式容易导致信息丢失和共享低效。Gitee Wiki 采用版本化管理、权限控制、协作编辑,确保关键知识在不

2025-05-17

,Gitee 项目组合管理(PPM)作为一款智能化工具,正成为软件工厂的重要推动力量。 软件工厂:标准化与自动化的未来 传统开发模式中,企业依赖多个独立工具支撑不同的开发任务和项目。随着软件工厂理念的提出,开发模

2025-05-10

提升交付效率和软件质量,成为行业关注的重点。 基于软件工厂理念,Gitee DevSecOps 设计了一套以流水线驱动、标准化治理、智能化优化为核心的集成发布体系,助力企业构建从代码集成到软件交付的高效闭环。该方案不仅提升

2023-09-06

,保障高质量锂电、储能产品供给。 (五)保持产业链供应链顺畅,打造协同发展产业生态体系 1.提升产业链现代化水平。聚焦集成电路、新型显示、服务器、光伏等领域,推动短板产业补链、优势产业延链、传统产业升链、

2025-06-21

用户。开源PHP自主研发的 DevOps 工具链已在金融、军工等关键领域实现 80% 市场渗透率,成为信创替代工程的标杆案例,验证了开源商业化的中国路径。 2024 年,开源PHP推出对标 HuggingFace 的 AI 大模型平台 "模力方舟 (moark.com)",

2025-06-21

在软件开发逐渐开源化和协作化的今天,软件供应链的透明性与安全性已成为开发者和企业最关注的话题之一。 尤其对于国内开发者和开源社区来说,随着国际合作与市场需求的日益增加,明确掌握软件供应链的信息,保障合

2023-09-12

主可控安全测试专家系列产品,提供代码溯源分析、软件供应链风险分析、许可证风险检测、安全漏洞预警、自主可控评估为一体的综合分析测试解决方案。   加入openKylin社区后,迪力科技将依托迪力匡正®系列测试

2023-02-10

理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。 Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor

2024-10-15

。 德勤此前撰文称,数字化和智能化作为推动产业链、供应链优化升级的关键驱动力,在生成式人工智能(生成式 AI)这一颠覆性技术的加持下,对供应链革新的重要性愈发凸显。 德勤中国副首席执行官、德勤中国首席战略

2023-10-11

品商业化能力备受市场认可。2020年被Gartner列入全球AutoML关键供应商库,并连续四年入选 IDC中国机器学习开发平台厂商全国Top3。在全球人工智能开源领域,自主研发的多项全球首个开源项目,填补AI领域技术空白,引领人工智能

2022-06-01

是 UAF 问题。近期发布的 Chrome 102 中,就修复了一个关键的 UAF 问题,且八个高危漏洞中有六个是 UAF。 为了解决这一问题,Chrome 方面已经使用了各种技术手段;包括 C++ 智能指针(如 MiraclePtr)、编译器中的静态分析、

2023-04-02

易于阅读和编写。与其他编程语言相比,它采用了更少的关键字和更简洁的语法结构,使得开发人员可以更快速地编写出高质量的代码。 多语言特性结合:NGPTL++ 融合了多种编程语言的优点,包括Rust的内存安全和并发性、Pyth