悬镜源鉴 SCA

Xcheck Software Composition Analysis Platform

基于多模态 SCA 的新一代开源供应链风险审查与治理平台

添加小镜
为您答疑解惑

管理数字供应链中的开源风险

Managing Open Source Risks in Digital Supply Chain

悬镜源鉴 SCA 开源威胁管控平台作为新一代开源数字供应链安全审查与治理平台，深度融合悬镜原创专利级的代码疫苗技术，是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI 模型安全扫描、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析七大核心引擎的多模 SCA 开源数字供应链安全审查与治理平台。快速扫描数字应用和容器镜像中存在的各类开源风险，并提供实时精准的数字供应链安全情报预警能力。

他山之石，可攻玉，亦可碎玉

Stones from Others Can Polish Jade or Break It

如今，在研发效率的考量下，几乎所有的数字应用都基于第三方组件、开源代码、通用函数库实现。随着高效率一同到来而又经常被忽视的是：开源组件风险的爆发。根据行业公司的调查报告，应用中平均使用了 283 个开源库，超过 70% 的应用程序在初步检测时就会被发现存在开源组件漏洞。我们不应一再忽视如此显而易见而又影响广泛的风险。

风险情报驱动的 SCA，开源风险治理的技术抓手

Risk intelligence-driven SCA, the Key to Open Source risk Governance

作为数字供应链安全管理入口，管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。

根据清单进行物料成分一致性确认和开源风险治理，帮助建立 DevSecOps 敏捷安全体系和 SDL 安全开发体系。

结合供应链安全情报，进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

输出透明化的数字应用组件资产及风险清单，针对性建立安全可信 SBOM 库。

多模态 SCA 的典型开源治理场景

Typical open-source governance scenarios for multimodal SCA

源鉴 SCA 是国内首款源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI 模型安全扫描、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析七大核心引擎的多模 SCA 开源数字供应链安全审查与治理平台。

技术类别	源码组成分析	二进制制品分析	代码同源分析	容器镜像成分扫描	AI 模型安全分析	运行时动态追踪	SBOM 风险情报预警
检测目标	基于 XSBOM 全球实时数字供应链风险情报预警，动态检测数字应用及其环境中潜藏的各种开源成分，审查组件存在的各类已知漏洞、未知投毒风险及开源使用合规风险等
检测对象	源码文件：代码库、本地源码工程的特征文件、源代码文件	二进制制品：移动应用 Android/iOS/HAP（鸿蒙）、IoT 固件、嵌入式系统等	源码片段: 代码库、本地源码工程的代码片段、函数级代码特征	容器镜像： Docker 镜像、OCI 标准镜像	AI 模型文件、相关源代码、数据集。	运行时应用：在应用执行过程中，利用运行时插桩检测技术，检测应用真实运行加载的第三方组件成分	源码、二进制文件、容器镜像、源码片段、运行时应用等
检测难度	难度较大，源码文件包含信息完整，结果的可解释性与准确性较高。其中，客户本地环境模拟构建、项目结构相似度检测技术门槛较高	难度较大，源码文件包含信息完整，结果的可解释性与准确性较高。其中，客户本地环境模拟构建、项目结构相似度检测技术门槛较高	难度大，开发引入第三方项目时，代码会经过重构（如变量重命名、逻辑等价替换），源鉴 SCA 采用代码语义级别的特征提取，弱化表面语法差异，检测精准率行业领先	难度大，除了解析镜像配置文件的标准元数据，源鉴 SCA 通过源码集成源码依赖 SCA、二进制 SCA,可对企业自研、定制软件进行深度检测	难度大，需通过多维度特征加权计算以发现"影子"模型；需自动化追溯微调、量化、合并等复杂的模型演化血缘关系；需结合静态分析与情报库深度扫描模型文件中的隐藏恶意代码与反序列化漏洞。	难度大，可通过运行时监控技术，检查程序运行时加载第三方组件，支持运行时可达性验证，检测精度高	难度大，通过"多模态 SCA 引擎"与 SBOM 全周期管理技术联动开源数字供应链安全情报，实现小时级别的风险实时预警
检测场景	开发测试阶段	交付和采购阶段	开发测试阶段	交付和采购阶段	AI 项目安全审计与资产盘点；第三方模型安全准入检测及内部模型库定期巡检；模型训练前的数据集安全审查	测试和上线运营阶段	全供应链阶段
核心能力	支持丰富的检测方式：动态模拟构建环境、静态特征文件、Hash 精准匹配、项目结构相似度检测、漏洞利用链路可达性验证	支持丰富的压缩格式与文件格式解析，支持大量车机系统/SDK/固件常用组件成分风险检测	支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在 AI 生成代码侵权风险	支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、敏感信息扫描	支持 AI 模型相似度检测与代码调用分析；构建 AI 模型血缘图谱，可视化追溯衍生链条；数据集深度扫描，覆盖敏感信息与合规风险；深度风险文件扫描，精准发现恶意组件；提供代码级修复建议的风险配置分析；支持标准化的 AI-BOM 生成与导出。	支持动态组件发现，通过监控进程加载的文件，识别实际运行的第三方组件版本。	支持 SBOM 全生命周期管理，实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
行业价值	规避开发阶段引入漏洞、供应链投毒、开源许可合规等风险	满足金融、车联网、工业物联网等高安全需求场景	知识产权合规与供应链透明化	保障云原生交付安全	AI 供应链安全与合规风险治理	组件级存量资产测绘，伴随应用执行，易于集成、监控、修复	数字供应链情报及时响应，合规与供应链透明化

AI 驱动，实时供应链安全情报预警

AI-driven, Releasing Supply Chain Security Intelligence Warning Accurately and Real-time

悬镜供应链安全情报云平台，基于精确、全面的软件物料清单梳理和 AI 大数据分析引擎，实现 7*24 全网数字供应链安全动态监测与溯源分析，智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险，安全快人一步。

检测全覆盖，常态化开源治理

SCA Testing Full Coverage

软件物料清单 SBOM

Software Bill of Materials

组件信息
代码文件
代码片段
依赖清单
兼容 DSDX、SPDX、SWID、CycloneDX

供应链风险

Risk of Supply Chain

开源漏洞
异常行为代码
供应链投毒
应用安全缺陷

开源合规

Open Source License Compliance

许可证兼容
许可证合规
许可证版本
许可证冲突

赋能信创生态，一键数字供应链安全审查

ITAI（Information Technology Application Innovation）, Supply Chain Security Censorship

源鉴 SCA 赋能信创监管合规，支撑与国产主流信创环境的兼容适配，保障国产信创产业生态链的安全可信。提供一键数字应用供应链安全审查服务，覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象，确保信创应用快速符合相关监管要求。

客户

Clients

首创基于"AI 原生安全 + DevSecOps 敏捷安全 + 多模态 SCA+ 开源供应链情报预警"技术的新一代 AI 数字供应链安全治理体系，以 AI 治理 AI，从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的 AI 原生安全风险，帮助企业用户构筑一套从传统软件供应链到 AI 原生供应链全生命周期的内生安全治理体系，持续守护新一代 AI 数字供应链安全。