浩达恒业（北京）科技有限公司

浩达恒业（北京）科技有限公司主要提供应用安全测试产品及服务的一家公司，是2008年最早代理销售Fortify产品并提供解决方案的公司。

浩达还专注于新技术应用安全领域的创新型企业。公司以“把安全注入进企业的基因”为己任。致力于“可信应用，主动防御”系列应用安全产品研发推广，长期为金融、政府及企事业单位提供安全开发、APP安全、软件成分分析和安全管理中心等全面安全服务解决方案。团队成员来自微软、阿里巴巴、360、深信服等知名企业。有丰富的甲方建设经验及乙方的产品经验。核心团队在程序分析领域专注10年，技术完全自主研发，是国内成熟的商用源代码缺陷分析产品。打破了国外产品在应用安全领域的垄断。帮助企业构建自身的代码安全保障体系，消减软件安全隐患。同时帮助SDLC与devsecops在企业落地。

产品成熟且有一定市场占有率在银行、金融、政府、质检院、互联网企业均有成功案例如：

中国移动、中国联通、工业和信息产品监督检验院、产品质量监督检验院、网络与安全测评中心、中南大学、农信银资金清算中心、中国建设银行、中国数字货币研究所、中国进出口银行、武汉农商行、山东信用社、吉林农信、九江银行、乌鲁木齐银行、火币科技等等成功案例。

入住领域 DevSecOps、软件成分分析、移动应用安全、静态安全测试。

产品 黑域软件成分分析系统、黑域源代码扫描平台、黑域移动安全扫描平台。

产品优势 所有产品自主研发，且有技术优势。

黑域源代码扫描平台 

产品特性

• 支持 Java(包括 Android)、JavaScript、JSP、HTML、C/C++、ASP.NET、VB.NET、C# (.NET)、PHP、Python、XML等主流编程语言。针对C/C++系列无需本地编译及可扫描极大的提高了用户的效率。

• 分析速度：能够快速分析源代码，通常检测百万行的代 码仅需要小时级别，问题与国际主流安全标 准(OWASP、CWE-SANS)相对应

• 分析精度：查找精确，误报率极低。虚假路径裁剪和其它创新减少了误报的产⽣。附加的配置和微调能够进一步减少误报率

• 分析⼴度：在聚焦SQL注⼊、跨站脚本、缓冲区溢出的 软件安全问题的基础上，扩展了空指针解引⽤、资源泄漏等代码质量问题的检测⽀持

• 分析深度：提供过程间数据流分析和统计分析，多项创新性技术，如增量分析、多缺陷路径归集技术等

• 检测平台特性

– 部署架构随需⽽变，最⼤限度地提高可伸缩性和性能，⽀持多并发

– 以项⽬维度对某源码地址下所有检测进⾏管理，⽆缝对接企业已有项⽬管理系统，持续集成(CI)系统

– 融合代码管理服务器，⽀持SVN，Git 等

– ⽀持增量检测，不需要重新扫描整个代码库，仅扫描更改的代码及相关⽂件

– ⽀持续检测，促使团队保持交付尽可能好的代码的动⼒

– 通过报告和关键指标的度量，理解和掌握整个项⽬或团队中存在的安全问题

黑域软件成分分析系统 产品自主研发，技术领先

产品特性

支持Saas模式、私有模式

产品架构： 基于B/S的分布式架构，可实现多用户、多任务并发，便于多人协作使用

检测原理：组件依赖分析、文件检测、hash特征匹配、源代码片段等多种分析技术结合，并通过组件特征等进行合并

检测对象：源代码：本地zip包上传、git仓库地址、SVN仓库地址、特征文件

知识库更新：云端知识库每天自动更新；线下版本离线手动更新，每月/每周1次

组件引入方式：支持直接、间接引入

支持Cargo (Rust)、Composer (PHP)、Gems (Ruby)、Hex (Erlang/Elixir)、Maven (Java)、NPM (Javascript)、NuGet (.NET)、Pypi (Python)等主流语言。

支持上述语言及生态外还支持容器镜像检测。

支持 NVD、CNNVD（中国国家漏洞库）、CNVD、Github、其他漏洞社区、厂商漏洞挖掘实验室。

支持全局漏洞资产、许可证分析、私有漏洞、组件清单、检测报告、二次开发接口

独创的hbom格式在保证企业数据不出内网的情况下完成安全检测。

黑域移动安全扫描平台 产品自主研发，技术领先

支持 污点分析、特征值扫描、数据流分析、正则分析等分析方式极大的提高了检测深度和检测准确率

支持Android检测、iOS检测

支持 静态检测全面扫描应用的静态代码特征，准确识别和定位，发现应用在自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力等方面的风险漏洞

支持 动态检测 通过应用响应的行为及日志检测应用中存在的风险和漏洞。检测内容包括：篡改/二次打包攻击风险、应用签名未检验风险、数据库注入漏洞、动态调试攻击风险、HTTP报文信息泄漏风险、界面劫持等风险

支持 混合开发App检测  针对混合开发的Android App（即部分功能是html5开发的），能够实现其中HTML5的安全检测

支持 权限检测通过扫描App配置文件和代码逻辑，发现APP申请了哪些权限，以及APP在运行过程中实际使用了哪些权限 

支持 应用风险趋势分析 通过多样化的图表展示分析结果，呈现发生最多的安全漏洞等安全趋势；

同时把app扫描与源代码扫描整合到了一起，提供统一的对外呈现方式，减少了用户的学习成本。同时也让devsecops运转的更加流畅。

以上系统均有saas版本可以试用。

浩达目前提供金融行业的SDL咨询服务，通过帮助客户建设SDL管理体系、辅导开发全项目落地、进行工具规划建设、以及同步进行人员培训等服务，实现软件开发全生命周期安全管理、实现安全合规覆盖、提升安全质量与安全精细化管理。

目前的超过100家以上的应用安全的项目实施案例。

技术咨询、技术服务；计算机技术培训；销售计算机、软件及辅助设备、电子产品、通讯设备。
公司业务范围包括：
1、提供金融行业的SDL咨询服务.
2、提供国内外软件自动化测试工具产品，如安全测试Fortify/Webinspect，Coverity,Clockwork,testbad等应用安全产品.
3、提供自研产品包括黑域SCA软件成分分析系统、黑域源代码检测管理平台、黑域移动安全扫描平台。.
4、提供高级安全审计服务，如代码审计培训，专家安全咨询服务等.
5、提供国内外先进的软硬件及集成服务.