DevSecOps
将安全防护嵌入软件开发生命周期 (SDLC) 的每个阶段
Shifting Security Left
安全左移,修复成本降低 30 倍- 安全报告嵌入 Merge Request,研发所见即所得,代码准入胸有成竹
- 安全扫描与极狐GitLab CI/CD 无缝集成,持续自动化检测贯穿 SDLC
- 自定义安全审批规则,设置代码准入门槛,提高代码安全性
- 单一平台打造「发现→追踪→修复」安全闭环,免切换,更高效
Secret Detection
密钥检测,防止敏感信息泄漏- 自动扫描代码变更中的敏感信息
- 自定义规则集,扫描范围因需制宜
- 与编程语言、框架无关,适用范围广
- 所有提交历史,均可扫描
Static Application Security Testing
静态应用程序安全测试,构建静态防护屏障- 扫描源代码,发现潜在安全漏洞
- 问题代码精准定位到具体行数
- 应用于 SDLC 早期,修复成本降低 80%
- 支持对 Terraform、Helm、Dockerfile 的扫描,增强云原生安全
Dynamic Application Security Testing
动态应用程序安全测试,保障运行时安全- 扫描运行中的应用程序安全漏洞
- 具备基于代理、浏览器、API 的分析器,适用不同应用
- 列举所有深度扫描的 URL 信息
Container Scanning
容器镜像扫描,保障云原生安全- 既可与极狐GitLab CI 集成使用,也可单独使用
- 生成 CycloneDX 类型的软件物料清单,保障软件供应链安全
- 支持内置仓库和外部镜像仓库镜像扫描
Dependency Scanning
依赖项扫描,盘点数字资产- 软件组成成分一目了然,组件信息清晰明了
- 快速发现软件中安全风险组件,及时修复
- 方便企业盘点数字资产,做到心中有「数」
Coverage Fuzzing
模糊测试,防止 0 Day 漏洞出现- 支持基于 API 或 Coverage-guided 检测方式
- 支持 C/C++、Golang、Rust、Java、Python 等主流语言
- 支持 libFuzzer、go-fuzz、cargo-fuzz、javafuzz 等多种测试引擎
- 支持通过 GraphQL Schema、HTTP Archive、Postman 等多种方式运行
License Compliance
许可证合规,助力企业安全合规- 输出所有项目依赖项许可证信息,可从扫描结果回溯至对应代码变更
- 针对不同类型许可证采取不同使用策略:设置允许和拒绝使用的类型
- 添加许可证审批规则,设置代码安全准入门槛
