悬镜源鉴SCA
Xcheck Software Composition Analysis Platform
新一代开源数字供应链安全审查与治理平台
添加小镜
为您答疑解惑
Managing Open Source Risks in Digital Supply Chain
悬镜源鉴SCA开源威胁管控平台作为新一代开源数字供应链安全审查与治理平台,深度融合悬镜原创专利级的代码疫苗技术,是国内集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎的多模SCA开源治理平台,快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力。
Stones from Others Can Polish Jade or Break It
如今,在研发效率的考量下,几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是:开源组件风险的爆发。根据行业公司的调查报告,应用中平均使用了283个开源库,超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。
SCA, the Key to Open Source Governance
Three Typical Scenarios of Open Source Governance
源鉴SCA是国内首款集代码成分溯源、制品成分二进制分析及运行时成分动态追踪三大核心引擎的多模SCA开源数字供应链安全审查与治理平台。
技术类别 | 源码SCA | 二进制SCA | 运行时SCA |
---|---|---|---|
检测目标 | 自动化梳理数字应用中的第三方组件资产,审查组件中涉及的已知漏洞、恶意代码和许可证使用风险 | ||
检测对象 | 应用源码:代码库、源码包 | 二进制应用:制品库和供应商制品 | 运行时应用:测试系统和上线运营系统 |
检测场景 |
开发测试阶段 持续评估开发过程中引入的开源安全风险和许可证风险,重点梳理分析代码自研率和重复代码等 |
交付和采购阶段 动态评估采购和交付过程中数字应用业务涉及的开源供应链风险 |
测试和上线运营阶段 组件级资产测绘,准确评估数字业务运行时真实动态加载的第三方组件及相关风险 |
检测难度 | 难度中等,源码文件包含信息完整,结果的可解释性与准确性较高。其中,片段级同源检测技术门槛较高 | 难度大,二进制文件中提取多维度特征,运用匹配算法进行相似度计算,可以识别编译环境等引入的新风险 | 难度中等,可通过运行时监控技术,检查程序运行时加载的第三方组件,可排除未执行加载冗余的组件,检测精度高 |
技术特性 | 左移至编码环节,可以结合代码仓库对接自动化检测 | 无需源码且侵入性低,上传二进制包文件即可,数据安全风险小,检测方便 | 伴随应用执行,需要动态插桩,可结合代码疫苗热补丁技术对漏洞进行动态修补 |
AI-driven, Releasing Supply Chain Security Intelligence Warning Accurately and Real-time
悬镜供应链安全情报云平台,基于精确、全面的软件物料清单梳理和AI大数据分析引擎,实现7*24全网数字供应链安全动态监测与溯源分析,智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险,安全快人一步。
SCA Testing Full Coverage
Software Bill of Materials
Risk of Supply Chain
Open Source License Compliance
ITAI(Information Technology Application Innovation), Supply Chain Security Censorship
源鉴SCA赋能信创监管合规,支撑与国产主流信创环境的兼容适配,保障国产信创产业生态链的安全可信。提供一键数字应用供应链安全审查服务,覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象,确保信创应用快速符合相关监管要求。
Clients
原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。
Partners
携手合作伙伴,开拓百亿级蓝海市场,共同助力企业DevSecOps数字供应链安全落地实践,实现企业与安全共生。
Comments
Awards
福布斯
中国科技50强
Forrester
SCA、SAST技术代表厂商
International Data Corporation
中国DevSecOps技术创新者
Gartner
SCA技术代表厂商
CDM Group
Next-Gen in Open-Source Security
Business Intelligence Group
BIG Innovation Award
互联网安全大会
年度创新力十强
中国信息通信研究院
软件供应链优秀成果案例
Certifications
北京市科学技术委员会
国家高新技术企业
国家信息安全漏洞库
CNNVD兼容性认证
中国软件测评中心
CAPPVD漏洞库支撑单位
知识产权管理体系认证
ddd
北京市知识产权局
北京市知识产权试点单位
国际质量管理体系认证
ISO9001
国际信息技术服务管理体系
ISO20000
国际信息安全管理体系
ISO27001
顾问小镜
悬镜安全
在线咨询
CHAT WITH US