关键领域软件工厂的安全中枢：Gitee Scan 全面升级供应链检测能力-低调大师

关键领域软件工厂的安全中枢：Gitee Scan 全面升级供应链检测能力

2025-06-27 139

作者：Gitee DevSecOps团队李颖萍李文博

随着软件供应链安全体系在互联网、金融等领域逐步成熟，关键领域正加速迈向以 MLOps、软件工厂为核心的新型研发生态。在这一过程中，面对代码安全、依赖合规、系统可信等多重挑战，传统人工审查模式已难以满足国家级高安全性要求。

Gitee Scan 集成 SAST（静态应用安全测试）、DAST（动态应用安全测试）、SBOM（软件物料清单）等关键技术，面向关键领域企业提供自动化安全检测能力，为软件供应链构建「可视、可控、可追溯」的防线。

关键领域软件安全合规的挑战

关键领域软件系统需满足比通用商业软件更为严苛的安全标准，挑战主要包括：

高级威胁对抗能力不足：如供应链攻击、零日漏洞利用、侧信道攻击等，要求具备防篡改、防逆向的设计能力。
依赖来源可信难保障：缺乏有效 SBOM 工具与流程，组件溯源难、更新慢。
研发环境隔离性强：普遍采用物理内网与封闭开发工具链，难以对接现代 DevSecOps 流程。
安全环节后置：采用瀑布式模型，无法实现安全“左移”，风险发现延迟。
开发工具不兼容：现有工具难以集成自动化 CI/CD 流程。
生命周期极长：系统生命周期长达 10～30 年，对漏洞管理与文档留存要求极高。
法规合规负担重：需同时满足 GJB5000A、GJB8114、ISO 27001、NIST SP800 等多套标准体系。
过程留痕难：人工文档负担重，难以满足 DevSecOps 强调的“基础设施即代码”理念。

Gitee Scan：构建关键领域软件工厂的质量中枢

作为 Gitee DevSecOps 平台中质量保障的核心组件，Gitee Scan 担纲软件工厂中的质量车间角色，贯穿从代码提交到漏洞修复的全过程，构建覆盖 SAST、DAST、SBOM 的安全扫描闭环。

核心技术能力

Gitee Scan 采用自主研发的 BCA 扫描引擎，源自独创代码执行链分析技术（已申请专利），结合 AST 静态分析、控制流/数据流建模与指纹匹配算法，实现高精度漏洞识别。

目前，已上线的有 BCA–Kotlin、BCA-Java、BCA-OC、BCA-Cobol、BCA-SQL、BCA-C/C++，覆盖 CWE、OWASP Top 10、GJB8114 等主流规则体系。

高性能架构设计

支持分布式部署与高并发扫描，结合权限隔离与多租户机制，实现平台级弹性伸缩与私有部署能力。

安全闭环能力

与 Gitee Team 集成，提供扫描-跟踪-整改-审计全流程联动，支持问题归属与整改责任划分，留痕可追溯，满足关键领域内审要求。

多维扫描能力构建安全基础设施

SAST（静态应用安全测试）

基于自研 BCA 引擎，解析代码结构与执行路径，识别高危漏洞（如注入类、缓冲区溢出、硬编码凭据等），并对超长函数、圈复杂度、重复代码等可维护性指标进行分析。误报率控制在 10% 以下，处于行业领先水平。

SBOM 分析能力

自动生成软件物料清单（SBOM），支持对开源组件、第三方依赖、内部模块的全量溯源，标注许可证信息与风险等级，助力组件可信评估。

DAST（动态应用安全测试）

结合模拟输入与接口探测，自动发现服务层漏洞，提升运行时风险发现覆盖面。与 SAST 形成静动结合检测体系。

未来展望：AI 驱动的智能安全助手

同时，Gitee Scan 正在探索 AI 技术在安全能力中的深度融合，推进「自动判断 + 智能修复」能力落地：

误报识别辅助：结合大模型能力分析扫描结果上下文，自动判断漏洞是否为误报，减轻研发人员人工判断负担。

个性化修复建议：基于代码上下文与历史缺陷库，生成高质量修复建议，提升研发效率与合规响应速度。

Gitee DevSecOps 的现代化研发生态

Gitee DevSecOps 是一站式国产化研发与交付平台，集成了代码托管（Code）、项目协作（Team）、持续集成（CI）、持续部署（CD）、代码安全（Scan）、数据洞察（Insight）等多项能力，致力于打造具备全生命周期管控能力的现代软件工厂。

https://gitee.cn/factory

平台设计充分考虑关键领域行业对安全性、可控性、合规性的极高要求，具备以下核心特征：

国产化适配与私有化部署能力：全面兼容国产操作系统与基础设施，支持灵活部署于内网环境，保障数据主权；
全流程 DevSecOps 管控体系：代码从提交、审核、构建、扫描、部署到发布全流程可视、可追溯、安全可控；
模块化产品结构：各能力模块（如 Code、Team、Repo、Pipe、Scan、Insight 等）可灵活组合、渐进集成，适配多样化团队与流程要求；
深度可观测与度量体系：内置研发效能度量与数据洞察引擎，支撑管理者宏观掌控项目态势与交付健康度。

在多个国家级重大项目与关键领域单位落地实践中，Gitee DevSecOps 已成为构建「自主、可控、高效、安全」的软件工程体系的重要基石。

微信关注我们

原文链接：https://www.oschina.net/news/357644

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

中国首个海洋领域开源大模发布

中国首个海洋领域开源大模型 OceanGPT(沧渊) 于日前在浙江杭州发布。该大模型由海洋精准感知技术全国重点实验室(浙江大学)牵头研发，具备基础的海洋专业知识问答，以及声呐图像、海洋观测图等海洋特色多模态数据的自然语言解读能力。其采用的领域知识增强“慢思考”推理机制，相较现有通用大模型能有效降低幻觉式错误。此外，模型还适用于海洋机器人操控与水下具身智能等关键场景。沧渊研发团队负责人、浙江大学计算机学院教授陈华钧介绍称，“依托大模型的代码自动生成能力，只需输入一句自然语言指令，OceanGPT即可生成对应的机器人操控代码，实现下发、部署和任务执行。未来，我们希望即使是非专业人士，也能通过语音指令驱动水下机器人完成复杂任务。” 其表示，OceanGPT还集成了MCP大模型协议，旨在实现大模型驱动的多机器人协同协作。后续OceanGPT还可直接部署于海洋机器人上的端侧大模型，借助端侧大模型的推理能力进一步提升海洋装备的自主作业能力和作业效率。据悉，目前OceanGPT已在浙江大学海鹰系列水下机器人平台上完成技术验证，实测表明该模型将原本依赖人工编写的机器人代码编写效率从“小时级”提升...

2025-06-27

110

在企业级的数据同步和迁移场景中，Redis 凭借高性能和灵活的数据结构，常被用于缓存和高频读写场景。随着业务数据的积累，Redis 中不可避免会出现包含大量元素的"大 Key"，如包含几十万条数据的 List、Set 或 Hash 类型。在进行全量同步或迁移时，大 Key 往往成为性能瓶颈甚至故障源。 CloudCanal 作为专业的数据迁移同步工具，不断优化 Redis 同步技术，近期对 Redis 源端链路又完成了一系列优化，包括更多指令支持、数据校验以及全量大 Key 同步优化。本文重点介绍在大 Key 同步场景下，CloudCanal 的技术优化与性能提升。大 Key 同步挑战在高并发、高实时性的业务系统中，Redis 某个 Key 的元素可能高达数十万甚至上百万。一旦执行全量数据同步，容易带来如下问题：内存占用剧增（OOM）：一次性加载整个大 Key 会使任务程序的内存瞬时暴涨，严重时可能引发 OOM。协议限制超限：Redis 协议对单条命令的参数数量和请求体大小有上限（如 RESP 协议中为 512MB），超出即报错。对端写入失败：Redis 目标节点在处理过大...

2025-06-27

102

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。