软安科技有限公司

公司介绍

2021年,软安科技(Software Safety Technology co., Ltd)成立于成都,在上海,北京设立子公司和办事处,正在为政府、金融、运营商、能源、交通、科教文卫等行业各类型企业用户,提供体系化的网络数据安全产品、全方位安全解决方案和可度量的安全运营服务。

(股东背景)

软安科技有限公司由倍智智能(成都高新)、新思科技(新思投资)及主要团队与投资人基金共同出资组建,注册资本5000万元。其中:

倍智智能数据运营有限公司是高新发展旗下的科技型企业,承担高新发展转型提档的重要使命。公司定位于拥有自主知识产权和核心竞争力的智慧城市解决方案提供商和数据运营服务商,是高新区开展智慧城市建设和运营的重要平台载体,为成都高新区发展新基建提供重要支撑。

新思科技成立于1986年,总部位于美国硅谷,是全球排名第一的电子自动化设计(EDA) 解决方案提供商、芯片接口IP供应商,同时也是信息安全和软件质量的全球领导者,其连续三年在Gartner魔力象限应用安全测试中被评为全球领头羊。

(价值主张)

作为客户值得信赖的数据安全MSP(management service provider),中国领先的数字经济基础设施风险管理运营商,自创立之初,我们便立志通过技术的力量携手客户践行“安全左移”,“DevSecOps”理念,重新定义数字经济风险管理的边界,为企业更好地绽放数字经济生产力保驾护航。(人才汇聚)为此,在短短几个月间,软安科技汇集了国内外100多位优秀人才,(相关认证)严格遵循行业最佳标准,已通过ISO9001,ISO27001,CMMI3等权威认证,,使我们拥有了企业数字化转型全球合作伙伴所必备的风险管理领域专业技能,语言支持和服务覆盖广度。

(能力储备——Synopsys(新思)应用安全能力)

软安科技是全球领先的软件安全企业——新思科技,在中国投资的安全业务唯一企业,全面负责新思安全产品在中国客户的落地及相关服务支撑。

Synopsys帮助开发团队构建安全、高质量的软件,最大限度地降低风险,同时最大限度提高速度和生产力。Synopsys公司是应用程序安全领域公认的领导者,其提供各种静态分析、软件组成分析和动态分析工具,帮助团队能够快速查找并修复私有代码、开源组件和 应用程序行为中的漏洞和缺陷,在DevSecOps过程中,甚至在整个软件开发生命周期中最大限度完善安全和质量。

现代应用程序是由私有代码,开源组件以及运行时行为和配置等构建而成。我们提供多种行业领先的工具来保护所有这三方面安全:

  • Coverity 静态分析:使用全面的静态分析解决方案,在 SDLC 中尽早发现关键质量缺陷和安全漏洞,在成本最低时加以修复。
  • Black Duck(黑鸭)软件组成分析:使用业界领先的软件组成分析工具,在开发和生产过程中检测和管理开源组件和第三方组件 中的 风险。
  • Seeker 和 Defensics动态分析:利用创新性的动态分析产品,即 Seeker 交互式应用安全测试和 Defensics 模糊测试,对运行中的应用 程序进行常见的安全性弱点和漏洞测试。

——————————————————————————————我们提供什么?

(跨越安全GAP的端到端,可度量服务)

对软件安全领域的深度洞察让软安发现,大多数客户买了一套又一套安全工具,却因为企业或行业应用现状的千差万别,安全左移趋势的抬头,现有的状况离可控的软件安全目标存在明显的GAP,安全市场绵延至今,客户需求已经迭代到需要一家承载端到端可度量的软件安全服务MSP挺身而出。

应用安全战略与规划服务

软安充分借鉴数百家组织机构合作过程中所积累的经验,帮助用户针对自己软件安全计划(SSI)构建坚实的基础,跨团队 沟通安全和质量要求,并评测至关重要的结果。

  • 安全成熟度模型(BSIMM)。通过评估用户当前的状况来衡量用户 SSI 的有效性。
  • 成熟度行动计划(MAP)。为用户建立或提升软件安全开发指明方向。

专业交付服务

软安有近百名行业领先的专家,帮助用户整合质量和安全性方面的最佳实践、工具和策略,形成企业独特的技术堆栈。

  • 架构与设计 / 威胁建模。识别缺失的 / 脆弱的安全控制,理解最佳设计实践,并修复安全和质量缺陷。
  • DevSecOps 集成。使用正确的工具和流程,在适当的时间、适当的层次上将安全和质量分析引入到开发工作流程中。
  • 云安全。为部署到云端的应用制定可持续的软件完整性计划

安全培训服务

软安正在为用户软件开发部门中的每种角色提供培训,以帮助其获得必要的技能,用于创建和维护安全、高质量的软件。我们提供各种培训方法,用户可以选择适合自己的学习目标和日程安排的方法。

  • 讲师指导的培训。在用户现场提供实践性的、技术丰富的培训体验。
  • 电子方式教学。一套基于实际经验的按需提供的在线应用安全培训课程,并由业界领先的安全从业人员讲授。
  • 基于 IDE 的培训。在编写代码过程中学习安全编码最佳实践的理想方法。

(多维度的解决方案)

除此之外,凭借最多数量的世界500强、央企、政府、金融,能源等细分领域最佳实践案例的巨大优势,帮助我们充分理解客户端行业特点和独特的安全运营需求,结合服务+产品形成了以行业,需求场景,应用团队为维度的多层次软件安全解决方案。

行业解决方案

1)金融

Black Duck SCA,托管渗透测试,DevSecOps,软件安全构建成熟度模型(BSIMM),成熟度升级方案(MAP),软件安全培训。

2)嵌入式与IOT

渗透测试,架构与设计优化,Red Teaming,静态应用安全测试(SAST),程序设计与开发流程优化,软件安全培训

3)汽车制造

托管渗透测试,托管动态应用安全测试,移动应用安全测试,嵌入式应用安全测试,软件组件分析及测试工具,架构与设计优化,云安全,敏捷和CI/CD,软件安全培训,BSIMM。

4)航天航空

静态分析,软件构成分析,模糊测试,FPGA应用设计,功能验证,性能和可靠性优化

需求场景解决方案

1)应用安全测试

SCA,SAST,模糊测试,IAST,代码查看,DevSecOps,Red Teaming,动态应用安全测试,托管安全测试,嵌入式和IOT安全测试,渗透测试,胖客户端测试。

2)DevSecOps

A)专业服务:

安全开发计划与培训,CI/CD策略与规划,云安全评估

B)集成工具:

SAST,SCA,IAST

C)托管服务:

托管DAST,托管渗透测试,托管SAST

3)云与容器安全

(计划)云成熟度升级方案,(评估)云架构风险分析,云配置审查,(教育)云安全培训,(实施)云安全蓝图,SAST,SCA,IAST

4)开源安全与许可证合规

开源漏洞扫描,开源许可证合规分析

5)合并与收购

开源和第三方代码审计,开源风险评估,Web服务和API风险审计,渗透测试审计,静态应用安全测试审计,安全控制设计分析,定性代码质量审计,加密审计

6)软件质量与安全标准合规

A)应用安全:OWASP Top 10,CWE/SANS Top 25

B)数据保护:PCI DSS,GDPR,HIPAA

C)软件质量:MISRA,SEI CERT C/C++,ISO26262,ISO/IEC 17961,DO-178C,NERC CIP,FDA指南,ISA/IEC 62443

团队场景解决方案

  • 开发运维团队

架构风险分析,IDE插件代码安全缺陷分析,自定义风险策略的AppSec测试,准确可扩展的静态分析,SCA跟踪管理开源依赖性。

  • 安全团队

基于BSIMM提供的AppSec程序策略和规划,威胁和风险评估,安全测试服务,应用安全培训

  • 法务团队

开源许可证批准工作流集成SCA实现自动化,二进制分析实现软件供应链许可证合规,SCA全面审计降低知识产权风险。

——————————————————————————————-

——————————————————————————————-

谁和我们携手

(产品及技术合作伙伴)

AWS、腾讯云、阿里云,中软国际、新思中国、新奥集团,中电,

服务介绍

对软件安全领域的深度洞察让软安发现,大多数客户买了一套又一套安全工具,却因为企业或行业应用现状的千差万别,安全左移趋势的抬头,现有的状况离可控的软件安全目标存在明显的GAP,安全市场绵延至今,客户需求已经迭代到需要一家承载端到端可度量的软件安全服务MSP挺身而出。 应用安全战略与规划服务 软安充分借鉴数百家组织机构合作过程中所积累的经验,帮助用户针对自己软件安全计划(SSI)构建坚实的基础,跨团队 沟通安全和质量要求,并评测至关重要的结果。 • 安全成熟度模型(BSIMM)。通过评估用户当前的状况来衡量用户 SSI 的有效性。 • 成熟度行动计划(MAP)。为用户建立或提升软件安全开发指明方向。 专业交付服务 软安有近百名行业领先的专家,帮助用户整合质量和安全性方面的最佳实践、工具和策略,形成企业独特的技术堆栈。 • 架构与设计 / 威胁建模。识别缺失的 / 脆弱的安全控制,理解最佳设计实践,并修复安全和质量缺陷。 • DevSecOps 集成。使用正确的工具和流程,在适当的时间、适当的层次上将安全和质量分析引入到开发工作流程中。 • 云安全。为部署到云端的应用制定可持续的软件完整性计划 安全培训服务 软安正在为用户软件开发部门中的每种角色提供培训,以帮助其获得必要的技能,用于创建和维护安全、高质量的软件。我们提供各种培训方法,用户可以选择适合自己的学习目标和日程安排的方法。 • 讲师指导的培训。在用户现场提供实践性的、技术丰富的培训体验。 • 电子方式教学。一套基于实际经验的按需提供的在线应用安全培训课程,并由业界领先的安全从业人员讲授。 • 基于 IDE 的培训。在编写代码过程中学习安全编码最佳实践的理想方法。 (多维度的解决方案) 除此之外,凭借最多数量的世界500强、央企、政府、金融,能源等细分领域最佳实践案例的巨大优势,帮助我们充分理解客户端行业特点和独特的安全运营需求,结合服务+产品形成了以行业,需求场景,应用团队为维度的多层次软件安全解决方案。 行业解决方案 1)金融 Black Duck SCA,托管渗透测试,DevSecOps,软件安全构建成熟度模型(BSIMM),成熟度升级方案(MAP),软件安全培训。 2)嵌入式与IOT 渗透测试,架构与设计优化,Red Teaming,静态应用安全测试(SAST),程序设计与开发流程优化,软件安全培训 3)汽车制造 托管渗透测试,托管动态应用安全测试,移动应用安全测试,嵌入式应用安全测试,软件组件分析及测试工具,架构与设计优化,云安全,敏捷和CI/CD,软件安全培训,BSIMM。 4)航天航空 静态分析,软件构成分析,模糊测试,FPGA应用设计,功能验证,性能和可靠性优化

软件报价
查看所有软件>
金刚”软件安全质量平台集成有NST、MAST、SAST、DAST、SCA、PMD、IAST(可选)等多种软件安全测试/扫描工具,整合到一个易于使用的集成解决方案中,使安全团队和开发团队能够更快地构建安全、高质量的软件。

Coverity静态代码检测工具

Coverity是一款精确的综合静态分析与应用安全测试(SAST)平台,它可以在编写代码时发现关键的缺陷和安全缺陷,防止它们变成安全漏洞、故障或维护缺陷。

Black Duck软件组成分析

从开发到部署期间提供安全保障和管理开源。BlackDuck提供全面的软件组件分析(SCA)解决方案,用于管理在应用程序和Docker中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。BlackDuck为您提供无与伦比的

Defensics 模糊测试工具

Defensics是新一代的安全测试平台,帮助开发人员和技术用户迅速、可靠且高效地找到并纠正各种危险的错误和缺陷。通过主动将未知因素纳入整体视图之中,Defensics可以设定标准,以此支持出色的漏洞管理。Defensics的核心技术