安天融川代码安全检测系统AntiySCS_软件组成分析平台SCA

安天融川代码安全检测系统AntiySCS

安天融川代码安全检测系统AntiySCS是安天自主研发的面向软件产品全生命周期的安全开发检测系统。在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故。融川是一款全面、高效的代码安全解决产品，融合了软件组件分析（SCA）和静态应用安全测试（SAST）的先进能力。它旨在帮助企业和开发团队发现和修复代码中的安全漏洞、弱点和潜在风险，从而提升软件质量和保护业务安全。替代繁重的人工步骤，在开发阶段及时阻断不安全的组件及源码，从而防止来自软件供应链的污染传播。

立即咨询

首页 > 产品中心 > 应用安全 > 安天融川代码安全检测系统AntiySCS

功能特性

01
综合检测能力

02
多维度的开放接口

03
漏洞全流程管理

04
强大的报告和可视化分析

产品优势

自主可控支持国产化部署
本系统是完全自研，自主、可控的国产化商用

更贴合业务流程
更贴合业务流程

一站式解决前期开发流程的代码安全问题

自研高可用性引擎
内置自研高性能扫描引擎，API、IDE、CI/CD

可视化分析能力
系统检测分析能力结果呈现均支持可视化数据

软件组成分析模块（SCA）-系统架构 icon

软件组成分析模块提供API服务和Web界面，方便用户接入现有的系统中或者通过Web UI使用。同时软件组成分析模块提供IDE和命令行，以及CI/CD多种接入方式，方便用户快速将软件组成分析模块接入到开发流程。

产品优势

全面
多种扫描引擎，同时支持

源码和二进制文件

支持20余种常见语言

全面的漏洞知识库

准确
比 N V D 更精确的漏洞知识库

文件深度透视，无惧复杂格式

模拟原生构建流程，经可能做到组件信息精确

高效
精确的修复建议和描述

IDE集成，及时发现问题

提供安全趋势统计，及时把控项目安全信息

弹性
文件缺失的情况，尽

可能还原出第三方组件

支持私有镜像源，无论有无CI/CD 均适用

使用场景与痛点

四大常见问题
• 第三方组件中的已知漏洞 • 第三方组件的软件许可问题 • 恶意第三方组件中的问题 • 引用版本过旧的第三方组件

四大典型场景
软件开发阶段 • 突发0Day高危漏洞 • IoT固件/二进制SDK分析 • 容器镜像安全

三大开源痛点
缺乏完善且高质量的漏洞数据库 • 资产透视深度不足 • 上游SDK/固件无源码

应对能力解析

强大的开源组件识别能力
支持主流编程语言生态，与包管理器深度结合。拥有识别900w+ 开源组件信息、6000w+ 开源组件版本信息。

全面的开源组件漏洞数据库
不仅覆盖NVD、CNNVD的漏洞数据，还具备大量的私有高质量漏洞数据库，除此之外我们还会等对漏洞NVD上的数据做人工维护，以确保其正确性。

支持二进制文件检测
作为中下游厂商，拿到的SDK或固件往往都是无源码的。安天 SCA能支持C/C++、C#、Golang、安卓应用编译后的文件的扫描。

文件深度透视能力
在实际的应用场景中，文件存在嵌套和内嵌的关系。漏掉内含文件的扫描可能意味着就忽视潜在的风险。安天SCA支持30多种多种归档格式，支持文件递归的扫描。

静态应用安全测试模块（SAST）-系统架构 icon

静态应用安全测试模块的服务端框架整体采用 B/S 架构，主要包括核心检测模块，规则库模块，API 服务器，插件和扩展。通过可以通过 Web界面上传源码工程工程进行扫描支持多种语言类型和部分二进制文件进行检测，通过对程序代码进行安全检测，开发人员可以在编码过程中及时发现并修复安全缺陷，极大的减少产品上线运行后的漏洞攻击面，确保产品上线运行后不会出现明显的安全问题，增加客户对产品本身信赖的同时，业避免因为应用程序漏洞而造成的损失。

使用场景与痛点

难以追溯漏洞成因
在没有安全专家的情况下，难以发现问题本质

告警信息繁多
代码检测由于其特性，存在一定的误报且告警较多

源码问题无法解决
找到了问题代码的位置，但由于无法判断问题成因，不能有效的解决代码产生的问题，没有解决办法

代码无法编译
在无源码或源码无编译条件的情况下，代码审计困难重重

产品优势能力

会做“阅读理解”的检测引擎
如果忽略了程序执行过程中的发生序关系，检测结果便会存在误报率高的问题。因此引入上下文敏感性分析来解决这一问题。上下文敏感分析是指在对程序进行过程间分析时，考虑函数调用的上下文信息。

支持二进制文件检测
支持多种语言类型和部分二进制文件进行检测，源码无编译条件下也可进行安全扫描。

可视化的污点传播途径呈现
追踪分析源码的污点传播链路，通过对程序的污点传播路径进行分析，检测出由引入的用户数据流引起的深层风险漏洞。

输出详尽的检测报告
提供详细的检测报告，报告格式包括易于阅读的HTML格式之外，还可以输出原始的JSON格式，提供了详细的风险描述和修复建议，能够帮助开发人员提升了软件安全能力，便于日常安全运营。

污点传播分析追踪能力详解 icon

污点分析是一种跟踪并分析污点信息在程序中流动的技术，是提高静态分析能力的一个重要的技术手段。静态应用安全测试模块（SAST）内置强大的污点分析引擎，能够检测出更深层次的代码风险，同时会详细的记录风险的传播源和路径，帮助开发人员快速定位问题。

代码安全检测系统（SCS） icon

产品推荐查看更多>>

水印追溯系统【WTS】

水印追溯系统是华途股份针对拍照信息的可追溯，增加对拍照、摄录行为的威慑，降低拍照、泄密风险而自主研发的一款保障信息资产安全的产品。

安全可靠

功能完备

立即咨询查看详情

Cloudflare应用程序安全系统

Cloudflare确保应⽤和API安全、⾼效，阻⽌DDoS攻击，拦截机器⼈，检测异常和恶意负载，并监控浏览器供应链攻击。采⽤统⼀架构、从头开始构建的⽹络。每项安全服务运⾏于每个服务中⼼上。保护任何云、SaaS、API 或其他现代应⽤程序⼯具。

API安全

统⼀架构

托管规则

数据分析

立即咨询查看详情

梆梆安全可信安全键盘SDK

梆梆安全可信安全键盘SDK通过调用SDK的API接口的方法获取客户端安全软键盘，通过配置不同的参数来调用不同类型的键盘。包括设置SM4或AES加密时使用的密钥，解密SM4或AES方式加密的密文。安全键盘还有这么一种方式，我们在客户端sdk进行加密，在远程服务器进行解密，最终达到移动 APP 键盘保护。

密码全程加密处理

支持国密算法

防止攻击内存读取攻击

部署简单

立即咨询查看详情

数字化社区查看更多>>