悬镜源鉴SCA开源威胁管控平台_开源软件安全检测工具

申请试用

悬镜源鉴SCA开源威胁管控平台

立即咨询

首页 > 产品中心 > 应用安全 > 悬镜源鉴SCA开源威胁管控平台

面临问题

看不清
不清楚应用中使用了多少开源软件，缺少对软件物料清单的管理;

摸不透
不清楚开源软件存在多少已知安全漏洞，不同开源软件的许可证可能存在合规性和兼容性等风险;

拿不准
不知道开源软件漏洞的影响范围，无法快速定位到漏洞组件所在位置;

治不好
不知道开源软件的漏洞如何修复，缺少漏洞的风险评估和修复能力。

产品简介

悬镜源鉴SCA开源威胁管控平台(以下简称“源鉴SCA”)是国内首款集源码级组件依赖检测引擎、源代码同源检测引擎、二进制成分分析引擎、容器镜像检测引擎及运行态组件检测的多核心引擎驱动的SCA产品,作为悬镜第三代DevSecOps 智适应威胁管理体系中开源治理环节的软件供应链安全管理平台,专注于解决企业内引入的开源软件及软件供应链的安全风险问题。源鉴SCA基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测、容器镜像检测及运行时检测等核心能力,结合悬镜独有的应用探针技术,精准识别软件开发人员在应用开发过程中引入的第三方开源组件,并通过应用组成分析引擎,多维度提取开源组件特征,计算组件指纹信息,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。源鉴SCA可自动化生成规范性机器可读、国际通用标准格式的软件物料清单(SBOM) ,透明化软件供应链资产，保障软件供应链安全。

产品架构

核心能力

开源组件资产识别梳理
源鉴SCA通过软件成分分析、依赖分析、特征分析、引用识别等多种分析技术,准确识别企业软件中引入及使用的开源组件,并自动梳理形成软件物料清单 (SBOM) ,帮助企业快速清点企业软件内引入的开源组件资产。

开源组件漏洞风险检测
源鉴SCA提供开源组件的漏洞风险关联分析,通过分析开源组件的已知漏洞，并给出风险组件的依赖路径,准确定位风险影响的范围，并给出相应的修复建议及对应组件的推荐升级版本。

开源组件许可风险分析
源鉴SCA可识别应用中引入的开源许可证,对许可证进行风险评定,并对其内容进行相应的解读分析,包括许可证的使用条件、使用限制、使用范围、风险说明、是否兼容GPL许可证以及GPL兼容性说明等信息。

二进制引擎深度扫描分析
源鉴SCA基于丰富的知识库特征样本,结合多维特征相似度检测算法,融合文件结构特征、文件hash分析、各类静态特征等分析能力,全面提升二进制扫描精度。根据相似度算法的执行结果,精准定位到具体的开源项目及版本,并关联分析出子依赖的组件信息以及漏洞和许可的风险信息。

源代码同源自研率分析 icon

源鉴SCA基于海量的开源项目库及同源漏洞库数据,通过相似哈希精准匹配等代码特征提取方法,将代码特征进行整合、计算并生成代码指纹信息,结合代码行级大数据指纹库进行关联、匹配、分析,从文件级/函数级/代码级检测每个函数代码文件的相似度,并给出代码的自研率,分析企业软件内的开源组件代码引入风险。

动态运行时组件风险分析 icon

相比于传统的SCA检测平台,源鉴SCA引擎基于运行态的代码级开源软件成分检测,更加侧重于应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础_上进行更深度且更加有效的威胁分析。同时,源鉴SCA通过智能化大数据漏洞情报监测引擎,在全球范围内获取开源组件信息及其相关漏洞情报,降低由开源组件带来的安全风险,保障数字化应用的安全。

核心能力

容器镜像智能安全扫描
源鉴SCA内置智能容器镜像检测引擎,可以扫描容器仓库内的镜像,发现相关镜像的开源组件漏洞、敏感信息等,使用户及时全面地获知容器镜像中的不安全因素并及时排除,防患于未然。

私服库防火墙安全控制
源鉴SCA私服库防火墙功能支持对Sonatype Nexus、JFrog Artifactory等私服仓库进行安全扫描和风险分析,基于平台设置的质量门]禁即可实现自动阻断过程，帮助企业或团队构建并管理安全可靠的私服仓库。

融合SAST强化安全测试
SCA和SAST的集成可以提供更综合的安全测试覆盖范围。SCA主要关注应用程序中使用的第三方组件的已知漏洞和安全问题, SAST主要关注应用程序代码中的潜在漏洞和安全问题。通过将源鉴SCA和SAST能力集成,可同时对应用程序的组件和代码进行关联分析。

开源组件依赖关系图谱
源鉴SCA可对开源组件引入的直接依赖和间接依赖关系进行分析,形成组件依赖关系图谱并可视化展示，组件依赖关系及风险一-目了然。

开源组件漏洞情报推送 icon

源鉴SCA通过实时获取各来源开源威胁情报数据,及时更新、同步自身知识库数据,构建专业精准的漏洞知识库,通过清洗、匹配、关联、分析等方法，自动关联企业软件的开源组件资产信息,并通过邮件、站内信、微信、Webhook等方式通知相关负责人，帮助企业及时掌握最新的开源组件漏洞情报及风险影响范围。

产品优势

某电力评测机构应用案例 icon

项目背景

该电力测评机构内部拥有大量供应商提供的基于第三方开源组件开发的业务应用软件,以往对于交付软件缺少三方组件安全审查手段。随着国家层面对关键信息基础设施单位供应链安全建设的重视,针对业务应用软件需要利用有效的SCA 检测工具,对软件进行成分分析及开源组件风险审查,并找出潜在安全风险。

解决方案

针对供应商交付提供的软件,增加软件供应链安全审查要求。由于软件交付物形态可能是源代码、应用包、二进制安装文件或容器镜像文件,因此引入源鉴SCA全面覆盖各个类型的软件交付物,并输出SBOM清单及安全审查报告。对于存在高危组件风险的交付物,需要整改并复审后方可接收;并且利用SBOM清单建立供应商软件资产管理,结合悬镜供应链事件情报订阅,及时下放风险预警。

某大型城市商业银行应用案例 icon

项目背景

某大型城市商业银行业务辐射东南沿海,现已开展-百余个经营网点,在金融机构数字化转型的过程中，该行主要通过商业采购和合作研发等方式来进行系统建设,在此过程中引入了大量开源技术应用,开源软件数量飞速增长。2021年,中国人民银行、银保监会对金融业开源治理能力的要求陆续出台，该行以往通过人工自主排查修复的开源软件管理方式已无法满足监管要求,亟需针对开源软件提高识别、漏洞评估、协议分析及修复能力。

解决方案

引入源鉴SCA,以工具建设+管理制度并重的方式开展开源软件安全管理工作,完善开源软件资产识别、漏洞告警、协议风险分析及整改建议等安全管理制度,同时安全工作左移,在应用上线前使用SCA工具发现开源组件风险并及时修复,建立开源软件资产台账,持续监测所使用的开源软件的安全风险,从而加强对软件开发过程中各环节的开源软件安全风险的发现和治理。

某大型运营商应用案例 icon

项目背景

该运营商在长期的业务系统建设中内部引入了大量开源软件,尤其是外包产品引用了众多来源不明的第三方开源框架和组件。由于安全管理部门过往未制定相应的开源组件使用规范、开发人员在开发过程中未能关注开源组件的漏洞情况,导致开源组件安全漏洞反复出现,由开源软件直接或间接引发的故障占比较高。

解决方案

在该运营商的容器云平台部署源鉴SCA,重点建设内部开源组件版本基线使用规则。首先建立完善的组件选型机制，参考社区活跃程度、组件更新间隔时间、组件更新频率、是否仍持续更新以及开源许可证等多个维度辅助考量开源组件的版本基线范围设置；其次,建立企业内部私服组件库,设置私服库入库和出库规则,通过开源安全工具扫描后方可出入库;结合在流水线构建阶段的基线阻断配置,通过在流水线构建过程中实时进行开源组件安全检测，若检测应用不符合开源组件基线使用规则，则阻断流水线的构建过程。

产品推荐查看更多>>

Web应用审计

天玥web应用审计系统主要针对应用系统的访问行为进行细粒度审计与监控。

安全可靠

功能完备

立即咨询查看详情

斗象智能安全PVP对抗式溯源蜜罐系统

斗象智能安全PVP对抗式溯源蜜罐系统，基于欺骗伪装技术，通过在企业互联网区部署与真实资产、业务高度相似的“陷阱”从而在攻防对抗中迷惑、诱捕、溯源、反制攻击者，全面提升对外部威胁的感知能力。

聚合分析

内置社交身份引擎

业务仿真

实施攻击反制