悬镜源鉴SCA

Xcheck Software Composition Analysis Platform

基于多模态SCA的新一代开源供应链风险审查与治理平台

添加小镜
为您答疑解惑

管理数字供应链中的开源风险

Managing Open Source Risks in Digital Supply Chain

悬镜源鉴SCA开源威胁管控平台作为新一代开源数字供应链安全审查与治理平台，深度融合悬镜原创专利级的代码疫苗技术，是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。快速扫描数字应用和容器镜像中存在的各类开源风险，并提供实时精准的数字供应链安全情报预警能力。

他山之石，可攻玉，亦可碎玉

Stones from Others Can Polish Jade or Break It

如今，在研发效率的考量下，几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是：开源组件风险的爆发。根据行业公司的调查报告，应用中平均使用了283个开源库，超过70%的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。

风险情报驱动的SCA，开源风险治理的技术抓手

Risk intelligence-driven SCA, the Key to Open Source risk Governance

作为数字供应链安全管理入口，管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。

根据清单进行物料成分一致性确认和开源风险治理，帮助建立DevSecOps敏捷安全体系和SDL安全开发体系。

结合供应链安全情报，进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

输出透明化的数字应用组件资产及风险清单，针对性建立安全可信SBOM库。

多模态SCA的典型开源治理场景

Typical open-source governance scenarios for multimodal SCA

源鉴SCA是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析六大核心引擎的多模SCA开源数字供应链安全审查与治理平台。

技术类别	源码依赖SCA	代码溯源SCA	二进制SCA	容器镜像SCA	运行时SCA	供应链风险情报预警
检测目标	利用XSBOM提供的全球实时数字供应链情报，SCA自动化梳理更新数字应用中的开源/私有组件资产，审查组件中涉及的漏洞、供应链投毒、许可合规风险
检测对象	源码文件: 代码库、本地源码工程的特征文件、源代码文件	源码片段: 代码库、本地源码工程的代码片段、函数级代码特征	二进制制品: 移动应用Android/iOS、IoT固件、嵌入式系统等	容器镜像： Docker镜像、OCI标准镜像	运行时应用: 在应用执行过程中，利用运行时插桩检测技术，检测应用真实运行加载的第三方组件成分	源码、二进制文件、容器镜像、源码片段、运行时应用等
检测场景	开发测试阶段	开发测试阶段	交付和采购阶段	交付和采购阶段	测试和上线运营阶段	全供应链阶段
核心能力	支持丰富的检测方式：动态模拟构建环境、静态特征文件、Hash精准匹配、项目结构相似度检测、漏洞利用链路可达性验证	支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在AI生成代码侵权风险	支持丰富的压缩格式与文件格式解析，支持大量车机系统/SDK/固件常用组件成分风险检测	支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、敏感信息扫描	支持动态组件发现，通过监控进程加载的文件，识别实际运行的第三方组件版本。	支持SBOM全生命周期管理，实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
检测难度	难度较大，源码文件包含信息完整，结果的可解释性与准确性较高。其中，客户本地环境模拟构建、项目结构相似度检测技术门槛较高	难度大，开发引入第三方项目时，代码会经过重构（如变量重命名、逻辑等价替换），源鉴SCA采用代码语义级别的特征提取，弱化表面语法差异，检测精准率行业领先	难度大，对检测算法要求更高，需要持续的特征库维护和优化，并专项扩充移动应用、固件等文件对象的常用组件、SDK、漏洞、恶意软件收集	难度大，除了解析镜像配置文件的标准元数据，源鉴SCA通过源码集成源码依赖SCA、二进制SCA,可对企业自研、定制软件进行深度检测	难度大，可通过运行时监控技术，检查程序运行时加载第三方组件，支持运行时可达性验证，检测精度高	难度大，通过“五大分析引擎”与SBOM全周期管理技术联动开源数字供应链安全情报，实现小时级别的风险实时预警
技术特性	需要源代码，部分场景下客户无法提供，如供应商开发的软件	需要源代码，部分场景下客户无法提供，如供应商开发的软件	无需源码，上传二进制文件即可，侵入性小，数据安全风险小	无需源码，上传容器镜像文件即可	无需源码，伴随应用执行，易于集成、监控、修复	需要与数字供应链安全情报联动，高时效场景需要在线实时更新
行业价值	规避开发阶段引入漏洞、供应链投毒、许可合规等风险	知识产权合规与供应链透明化	满足车联网、工业物联网等高安全需求场景	保障云原生交付安全	保障设备运行合规性	数字供应链情报及时响应，合规与供应链透明化

AI驱动，实时供应链安全情报预警

AI-driven, Releasing Supply Chain Security Intelligence Warning Accurately and Real-time

悬镜供应链安全情报云平台，基于精确、全面的软件物料清单梳理和AI大数据分析引擎，实现7*24全网数字供应链安全动态监测与溯源分析，智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险，安全快人一步。

检测全覆盖，常态化开源治理

SCA Testing Full Coverage

软件物料清单SBOM

Software Bill of Materials

组件信息
代码文件
代码片段
依赖清单
兼容DSDX、SPDX、SWID、CycloneDX

供应链风险

Risk of Supply Chain

开源漏洞
异常行为代码
供应链投毒
应用安全缺陷

开源合规

Open Source License Compliance

许可证兼容
许可证合规
许可证版本
许可证冲突

赋能信创生态，一键数字供应链安全审查

ITAI（Information Technology Application Innovation）, Supply Chain Security Censorship

源鉴SCA赋能信创监管合规，支撑与国产主流信创环境的兼容适配，保障国产信创产业生态链的安全可信。提供一键数字应用供应链安全审查服务，覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象，确保信创应用快速符合相关监管要求。

客户

Clients

原创专利级“多模态SCA+DevSecOps+SBOM风险情报预警”的第四代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。

合作伙伴

Partners

携手合作伙伴，开拓百亿级蓝海市场，共同助力企业DevSecOps数字供应链安全落地实践，实现企业与安全共生。

客户说

Comments

荣誉

Awards

福布斯

中国科技50强
Forrester

SCA、SAST技术代表厂商
International Data Corporation

中国DevSecOps技术创新者
Gartner

SCA技术代表厂商
CDM Group

Next-Gen in Open-Source Security
Business Intelligence Group

BIG Innovation Award
互联网安全大会

年度创新力十强
中国信息通信研究院

软件供应链优秀成果案例

资质

Certifications

北京市科学技术委员会

国家高新技术企业
国家信息安全漏洞库

CNNVD兼容性认证
中国软件测评中心

CAPPVD漏洞库支撑单位
知识产权管理体系认证

ddd
北京市知识产权局

北京市知识产权试点单位
国际质量管理体系认证

ISO9001
国际信息技术服务管理体系

ISO20000
国际信息安全管理体系

ISO27001

从应用源头做风险治理，构筑新一代数字供应链安全体系

申请试用

灵脉AI

开发安全卫士

源鉴SCA

开源威胁管控平台

灵脉IAST

灰盒安全测试平台

云脉XSBOM

供应链安全情报预警

云鲨RASP

自适应云防御平台

灵脉PTE

自动化渗透测试平台

开源治理

源代码审计

应急响应

渗透测试

攻防演练

技术应用场景

行业解决方案