开源软件带来的安全性问题非常多,而SCA在软件成分分析、组件投毒检测、许可证合规风险、漏洞风险、软件代码开源比例检测等方面,都有很好的效果。可以看作SCA软件成分分析是数字供应链安全开源风险治理中最核心的工具,也是数字供应链安全的管理入口。本文结合悬镜安全源鉴SCA工具的深度使用来展开介绍国内排名 Top 1 的SCA工具。 发展历程: 2016年,悬镜开始了第一代SCA产品技术的研发工作,历经4年,2019年开始正式的商业化应用。目前,悬镜最新源鉴SCA已演进到第三代,同时作为悬镜第三代DevSecOps数字供应链安全管理体系中的开源治理环节的新一代数字供应链安全审查和治理平台,同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎,能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。 核心能力: 组件依赖及风险检测 基于悬镜独有的运行态代码级开源软件成分检测,深入分析引入开源组件的直接和间接依赖关系,形成可视化图谱,并进 行许可证风险判定和漏洞风险关联分析。 代码溯源分析 基于代码成分溯源引擎,通过智能同源分析算法和大数据指纹库检测代码片段的相似度,分析源代码漏洞风险、许可证合 规兼容风险以及源代码自研率。 二进制制品检测 基于制品成分二进制分析引擎,在无法访问应用程序源代码时,源鉴SCA 可通过二进制程序溯源其所包含的开源代码库, 分析其中的漏洞风险、许可证风险和敏感信息风险。 容器镜像检测 内置智能容器镜像检测引擎,通过扫描容器仓库内的镜像,发现开源组件漏洞、软件包漏洞、敏感信息等,及时排除在打 包镜像过程中可能引入的不安全因素。 私服库安全控制 支持集成Sonatype Nexus、JFrog Artifactory等主流私服仓库,并对风险组件进行入库出库拦截,实现引入来源控制。 SBOM检 测 支持对标准格式DSDX、SPDX、SWID、CycloneDX 的SBOM 文件进行检测和导出,并结合供应链情报进行实时精准的全局 资产动态预警 。  产品价值
开源社区 悬镜安全正式发布全球首个开源数字供应链安全社区OpenSCA,涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户,为全球开发者们和广大安全研究人员构筑专注安全开发与开源治理的技术创新实践社区。 当前,OpenSCA社区是国内用户量最多、应用场景最广的开源SCA技术(参考中国信通院《中国DevOps & BizDevOps现状调查报告2024》),通过软件码纹分析、依赖分析、特征分析、引用识别、开源许可合规分析及组件投毒分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。  悬镜SCA技术生态架构 免责声明:本内容来源于网络,如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
