开源网安SourceCheck开源组件管理平台_软件成分分析SCA

开源网安SourceCheck开源组件管理平台

开源网安SourceCheck开源组件管理平台是开源网安提供的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理，组件使用合规性审计，新漏洞感知预警，开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

立即咨询

首页 > 产品中心 > 数据计算与分析 > 开源网安SourceCheck开源组件管理平台

风险分析 - 开源组件主要安全因素 icon

开源知识产权风险

01 知识产权侵犯

不正当使用开源软件造成知识产权侵权风险

02 代码开放风险

使用GPL等许可协议，使得公司投入研发的软件被“传染”，强制开源，而带来公司技术秘密公开的风险

03 兼容冲突风险

多个开源许可协议不兼容的风险

04 合同违约风险

不遵守许可协议造成的合同违约风险

开源组件安全风险

漏洞风险

软件都是人写的，而人都会犯错，开源软件中必然存在bug，存在安全性或功能性漏洞。

供应链风险

开源软件涉及源代码共享，很多配置信息中会涉及账号密码等敏感信息，如果不对代码进行审核检查，可能会造成大量敏感信息与数据随着代码的共享而泄露。

开源组件的好处及存在的问题 icon

优势 - 使用成本低、社区支持、商业应用

•  减少成本、开源软件及源代码可以免费获取，加快项目进度
•  品质保证、大多都有开源社区支持，可一定程度上保证软件质量
•  商业价值、企业可借其实现商业目的，如直接盈利、占领市场等

存在的问题 - License及安全、专利权、采购、维护及保障

•  许可滥用、不遵守License会被投诉甚至起诉，且易引入安全漏洞
•  知识产权、此领域专利和版权相关纠纷频频发生
•  传递风险、产品外购软件可能存在违规使用开源软件的风险
•  自行修改、形成“私有开源代码”，需自行维护全部开源代码
•  及时更新、需有外部或内部团队掌握相关关键技术及获取社区支持

客户痛点

01 资产情况不明
企业不清楚组件的使用情况，

无法有效梳理及建立内部资产清单

02 安全风险无法掌握
使用的开源组件风险情况不明，

无法精准判断是否存在漏洞及合规问题

03 漏洞预警不及时
面对层出不穷的新漏洞威胁，

企业无法在最快时间得到信息反馈

04 问题修复不清晰
面对开源组件安全问题，

缺少有效的处理方案，无法快速定位处理

05 缺少管控手段
企业缺少对问题组件的管控手段，

无法实现有效管控来保障安全

06 应急分析响应慢
面对组件安全应急事件，

无法通过有效途径，快速定位影响范

业务场景

NO.1 代码合规性审计

开源软件引入时，对其许可证传染性、兼容性、其他违规风险进行合规性审计，是否违规侵权，商业闭源的注意事项等。

NO.2 安全漏洞修复

开源软件的漏洞检测、识别记录、漏洞修复及风险管理，包括后续新漏洞的感知预警，明确对自身业务影响。

NO.3 软件资产管控

规范开源软件的引入流程，明确安全评估责任机制，建立安全的企业内部开源库。

NO.4 合作责任明确

企业合作，需要出示安全检测报告，证明软件没有合规性和安全性问题，形成问责追踪机制。企业兼并对第三方代码评估审计等。

NO.5 监管政策响应

国家项目里对自主知识产权的要求，开源成分不能超过30%，金融、央企等加强风险防控等，相关领域软件知识产权纠纷司法鉴定等

产品功能

软件资产分析及可视化

• 企业、项目级的资产分布视图展示
• 组件、许可、漏洞清单多维度展示，辅助决策精准、合理的修复方案

开源组件库高覆盖

•  支持 CVE 通用漏洞披露库
•  支持CNNVD、CNVD 安全漏洞库
•  支持自研组件库管理维护
•  提供开源网安自有漏洞库

许可合规检测

•  支持组件知识产权检测，规避风险
•  专业的许可分析
•  支持授权、检查、审计场景

漏洞预警

• 实时发现最新漏洞，持续更新记录
• 提供新漏洞风险预警机制，快速感知

组件管控阻断

• 组件授权管控机制，完善合理
• 管控策略灵活，使用简单

无缝集成

•  IDE:：Eclipse、IntelliJ IDEA、PyCharm 等
•  DevOps：GitLab、Jenkins、Jira、SVN 等
•  标准API，满足企业内部各种集成场景
•  私服防火墙，构建私服安全保障

核心优势 - 海量数据，专业可靠 icon

语言覆盖广
Java、Js、Python、PHP、.NET、GO、Ruby、Swift、Objective-c、Erlang、Groovy、Scala、Perl等主流语言18种以上

包管理器多
maven、pypi、npm、yarn、gradle、composer、conan、cmake、nuget、golang、rubygems、cocoapods、Bazel、Vcpkg、Clib、rpm、apk、dpkg、apt等20多种包管理器

数据量大
拥有1亿量级知识库（国内No.1）

漏洞信息丰富
兼容CNNVD、CNVD、NVD等权威漏洞库23W+

多维检测，全面分析

SourceCheck可通过多种类型文件进行分析检测，同时可以从组件级、文件级、代码级维度进行综合分析，

获取当前软件的漏洞、许可、以及自研情况

丰富的场景

私服安全，实现私服扫描及私服防火墙保护
安全左移，研发阶段早发现早处理
持续集成，实现流水线、自动化
安全管控，黑白名单、阻断机制
安全审计，漏洞风险、合规风险

SCA与其他安全工具相比有什么突出特点? icon

与目前国内的IAST、SAST等安全工具对比来看，SCA技术具有以下优点：

检测准确性

SCA在对组件检测时，准确率能够100%

应急响应

当发生应急事件时，可以快速溯源，准确定位影响范围

软件生命周期

当发生应急事件时，可以快速溯源，准确定位影响范围

自动化

具有很高的自动化介入能力，集成DevOps等平台

修复效率高

基于组件视角，安全问题可通过升级版本进行修复，效率高且操作简单

SourceCheck - 安全设计 icon

全局搜索

项目前期安全调研必备功能可以通过搜索组件、漏洞、许可，了解引入组件风险，提前规避和指定新的组件，起到安全最前置

SourceCheck - 安全管控 icon

SourceCheck - 安全预警 icon

预警系统

风险是动态，实时掌握风险舆情变化，了解风险的影响范围，通过预警中心，了解最新安装状态

SourceCheck - 私服安全 icon

SourceCheck - 安全左移 icon

SourceCheck - 持续集成 icon

SourceCheck - 第三方集成API icon

平台支持与常用代码仓库、缺陷管理工具、SDLC、通信系统等集成，同时支持开放API对外

金融行业 | 微众银行 icon

保险行业 | 众诚保险 icon

金融行业 | 博时基金 icon

金融行业 | 度小满金融 icon

成功案例

产品推荐查看更多>>

识庐慧图Graph AI关联计算平台

识庐慧图Graph AI关联计算平台，基于擎苍lite模型构建工具，为客户打造贴合业务场景的模型，交付效率快，标准化程度高。基于识庐慧图标准化Graph AI模型的良好效果，为后续更多业务场景铺平智能化转型之路。

部署擎苍lite建模工具

模型图数据构建

范式化建模

lite模型管理组件

立即咨询查看详情

锐软科技大数据业务应用

辅助卫生行政部门监管、统筹、合理分配卫生服务资源，保障医保基金安全，提升医疗服务监控深度。

安全可靠

功能完备

立即咨询查看详情

数划云互联网行业预算分析解决方案

数划云互联网行业预算分析解决方案，新一代云原生xP&A：用户易用、数据全面、深度协同，帮助企业更好决策，建立预算管理的组织架构，实现管理报告与会计报告口径区分。

标准规范

数据全面

管理报告

全流程闭环

立即咨询查看详情

数字化社区查看更多>>