悬镜源鉴SCA

Xcheck Software Composition Analysis Platform

新一代开源数字供应链安全审查与治理平台

申请试用

添加小镜
为您答疑解惑

管理数字供应链中的开源风险

Managing Open Source Risks in Digital Supply Chain

悬镜源鉴SCA开源威胁管控平台作为新一代开源数字供应链安全审查与治理平台,深度融合悬镜原创专利级的代码疫苗技术,是国内集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎的多模SCA开源治理平台,快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力。

他山之石,可攻玉,亦可碎玉

Stones from Others Can Polish Jade or Break It

如今,在研发效率的考量下,几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是:开源组件风险的爆发。根据行业公司的调查报告,应用中平均使用了283个开源库,超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。

SCA,开源治理的技术抓手

SCA, the Key to Open Source Governance

作为数字供应链安全管理入口,管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。
根据清单进行物料成分一致性确认和开源风险治理, 帮助建立DevSecOps敏捷安全体系和SDL安全开发体系。
结合供应链安全情报,进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。
输出透明化的数字应用组件资产及风险清单, 针对性建立安全可信SBOM库。

开源治理的三大典型场景

Three Typical Scenarios of Open Source Governance

源鉴SCA是国内首款集代码成分溯源、制品成分二进制分析及运行时成分动态追踪三大核心引擎的多模SCA开源数字供应链安全审查与治理平台。

技术类别 源码SCA 二进制SCA 运行时SCA
检测目标 自动化梳理数字应用中的第三方组件资产,审查组件中涉及的已知漏洞、恶意代码和许可证使用风险
检测对象 应用源码:代码库、源码包 二进制应用:制品库和供应商制品 运行时应用:测试系统和上线运营系统
检测场景 开发测试阶段
持续评估开发过程中引入的开源安全风险和许可证风险,重点梳理分析代码自研率和重复代码等
交付和采购阶段
动态评估采购和交付过程中数字应用业务涉及的开源供应链风险
测试和上线运营阶段
组件级资产测绘,准确评估数字业务运行时真实动态加载的第三方组件及相关风险
检测难度 难度中等,源码文件包含信息完整,结果的可解释性与准确性较高。其中,片段级同源检测技术门槛较高 难度大,二进制文件中提取多维度特征,运用匹配算法进行相似度计算,可以识别编译环境等引入的新风险 难度中等,可通过运行时监控技术,检查程序运行时加载的第三方组件,可排除未执行加载冗余的组件,检测精度高
技术特性 左移至编码环节,可以结合代码仓库对接自动化检测 无需源码且侵入性低,上传二进制包文件即可,数据安全风险小,检测方便 伴随应用执行,需要动态插桩,可结合代码疫苗热补丁技术对漏洞进行动态修补

AI驱动,实时供应链安全情报预警

AI-driven, Releasing Supply Chain Security Intelligence Warning Accurately and Real-time

悬镜供应链安全情报云平台,基于精确、全面的软件物料清单梳理和AI大数据分析引擎,实现7*24全网数字供应链安全动态监测与溯源分析,智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险,安全快人一步。

检测全覆盖,常态化开源治理

SCA Testing Full Coverage

软件物料清单SBOM

Software Bill of Materials

  • 组件信息
  • 代码文件
  • 代码片段
  • 依赖清单
  • 兼容DSDX、SPDX、SWID、CycloneDX

供应链风险

Risk of Supply Chain

  • 开源漏洞
  • 异常行为代码
  • 供应链投毒
  • 应用安全缺陷

开源合规

Open Source License Compliance

  • 许可证兼容
  • 许可证合规
  • 许可证版本
  • 许可证冲突

赋能信创生态,一键数字供应链安全审查

ITAI(Information Technology Application Innovation), Supply Chain Security Censorship

源鉴SCA赋能信创监管合规,支撑与国产主流信创环境的兼容适配,保障国产信创产业生态链的安全可信。提供一键数字应用供应链安全审查服务,覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象,确保信创应用快速符合相关监管要求。

客户

Clients

原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。

        合作伙伴

        Partners

        携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps数字供应链安全落地实践,实现企业与安全共生。

        客户说

        Comments

        荣誉

        Awards

        • 福布斯

          中国科技50强

        • Forrester

          SCA、SAST技术代表厂商

        • International Data Corporation

          中国DevSecOps技术创新者

        • Gartner

          SCA技术代表厂商

        • CDM Group

          Next-Gen in Open-Source Security

        • Business Intelligence Group

          BIG Innovation Award

        • 互联网安全大会

          年度创新力十强

        • 中国信息通信研究院

          软件供应链优秀成果案例

        资质

        Certifications

        • 北京市科学技术委员会

          国家高新技术企业

        • 国家信息安全漏洞库

          CNNVD兼容性认证

        • 中国软件测评中心

          CAPPVD漏洞库支撑单位

        • 知识产权管理体系认证

          ddd

        • 北京市知识产权局

          北京市知识产权试点单位

        • 国际质量管理体系认证

          ISO9001

        • 国际信息技术服务管理体系

          ISO20000

        • 国际信息安全管理体系

          ISO27001

        从应用源头做威胁治理,构筑新一代敏捷安全体系

        顾问小镜

        悬镜安全

        在线咨询

        CHAT WITH US

        渗透测试,漏洞扫描,AI安全
        Keywords: 渗透测试 漏洞扫描 AI安全