他山之石，可攻玉，亦可碎玉

Stones from Others Can Polish Jade or Break It

如今，在研发效率的考量下，几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是：开源组件风险的爆发。根据行业公司的调查报告，应用中平均使用了283个开源库，超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。

风险情报驱动的SCA，开源风险治理的技术抓手

Risk intelligence-driven SCA, the Key to Open Source risk Governance

作为数字供应链安全管理入口，管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。

根据清单进行物料成分一致性确认和开源风险治理， 帮助建立DevSecOps敏捷安全体系和SDL安全开发体系。

结合供应链安全情报，进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

输出透明化的数字应用组件资产及风险清单， 针对性建立安全可信SBOM库。

多模态SCA的典型开源治理场景

Typical open-source governance scenarios for multimodal SCA

源鉴SCA是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI模型安全扫描、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析七大核心引擎的多模SCA开源数字供应链安全审查与治理平台

技术类别	源码组成分析	二进制制品分析	代码同源分析	容器镜像成分扫描	AI模型安全分析	运行时动态追踪	SBOM风险情报预警
检测目标	基于XSBOM全球实时数字供应链风险情报预警，动态检测数字应用及其环境中潜藏的各种开源成分，审查组件存在的各类已知漏洞、未知投毒风险及开源使用合规风险等
检测对象	源码文件: 代码库、本地源码工程的特征文件、源代码文件	二进制制品: 移动应用Android/iOS/HAP（鸿蒙）、IoT固件、嵌入式系统等	源码片段: 代码库、本地源码工程的代码片段、函数级代码特征	容器镜像： Docker镜像、OCI标准镜像	AI模型文件、相关源代码、数据集。	运行时应用:在应用执行过程中，利用运行时插桩检测技术，检测应用真实运行加载的第三方组件成分	源码、二进制文件、容器镜像、源码片段、运行时应用等
检测难度	难度较大，源码文件包含信息完整，结果的可解释性与准确性较高。其中，客户本地环境模拟构建、项目结构相似度检测技术门槛较高	难度较大，源码文件包含信息完整，结果的可解释性与准确性较高。其中，客户本地环境模拟构建、项目结构相似度检测技术门槛较高	难度大，开发引入第三方项目时，代码会经过重构（如变量重命名、逻辑等价替换），源鉴SCA采用代码语义级别的特征提取，弱化表面语法差异，检测精准率行业领先	难度大，除了解析镜像配置文件的标准元数据，源鉴SCA通过源码集成源码依赖SCA、二进制SCA,可对企业自研、定制软件进行深度检测	难度大，需通过多维度特征加权计算以发现“影子”模型 ；需自动化追溯微调 、量化 、合并 等复杂的模型演化血缘关系 ；需结合静态分析与情报库深度扫描模型文件中的隐藏恶意代码与反序列化漏洞 。	难度大，可通过运行时监控技术，检查程序运行时加载第三方组件，支持运行时可达性验证，检测精度高	难度大，通过“多模态SCA引擎”与SBOM全周期管理技术联动开源数字供应链安全情报，实现小时级别的风险实时预警
检测场景	开发测试阶段	交付和采购阶段	开发测试阶段	交付和采购阶段	AI项目安全审计与资产盘点 ；第三方模型安全准入检测及内部模型库定期巡检 ；模型训练前的数据集安全审查	测试和上线运营阶段	全供应链阶段
核心能力	支持丰富的检测方式：动态模拟构建环境、静态特征文件、Hash精准匹配、项目结构相似度检测、漏洞利用链路可达性验证	支持丰富的压缩格式与文件格式解析，支持大量车机系统/SDK/固件常用组件成分风险检测	支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在AI生成代码侵权风险	支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、 敏感信息扫描	支持AI模型相似度检测与代码调用分析 ；构建AI模型血缘图谱，可视化追溯衍生链条 ；数据集深度扫描，覆盖敏感信息与合规风险 ；深度风险文件扫描，精准发现恶意组件 ；提供代码级修复建议的风险配置分析 ；支持标准化的AI-BOM生成与导出 。	支持动态组件发现，通过监控进程加载的文件，识别实际运行的第三方组件版本。	支持SBOM全生命周期管理，实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
行业价值	规避开发阶段引入漏洞、供应链投毒、开源许可合规等风险	满足金融、车联网、工业物联网等高安全需求场景	知识产权合规与供应链透明化	保障云原生交付安全	AI供应链安全与合规风险治理	组件级存量资产测绘，伴随应用执行，易于集成、监控、修复	数字供应链情报及时响应，合规与供应链透明化

检测全覆盖，常态化开源治理

SCA Testing Full Coverage

软件物料清单SBOM

Software Bill of Materials

• 组件信息
• 代码文件
• 代码片段
• 依赖清单
• 兼容DSDX、SPDX、SWID、CycloneDX

供应链风险

Risk of Supply Chain

• 开源漏洞
• 异常行为代码
• 供应链投毒
• 应用安全缺陷

开源合规

Open Source License Compliance

• 许可证兼容
• 许可证合规
• 许可证版本
• 许可证冲突

客户

Clients

原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。

合作伙伴

Partners

携手合作伙伴，开拓百亿级蓝海市场，共同助力企业DevSecOps数字供应链安全落地实践，实现企业与安全共生。

客户说

Comments

荣誉

Awards

• 

  福布斯

  中国科技50强

• 

  Forrester

  SCA、SAST技术代表厂商

• 

  International Data Corporation

  中国DevSecOps技术创新者

• 

  Gartner

  SCA技术代表厂商

• 

  CDM Group

  Next-Gen in Open-Source Security

• 

  Business Intelligence Group

  BIG Innovation Award

• 

  互联网安全大会

  年度创新力十强

• 

  中国信息通信研究院

  软件供应链优秀成果案例