随着开源软件的快速崛起,尤其是在 2021 年 Solarwinds 和 Log4J 漏洞引发全球关注之后,软件组成分析(SCA)越来越受到业界的关注。 SCA产品已逐渐成为企业软件链资产管理、漏洞管理、开源合规治理中不可或缺的重要一环。值得一提的是,“SCA”的概念及相关工具早在2024年就由厂商提出,但当时的SCA产品主要侧重于源层的分析,所以更准确地说是称为源成分分析。 目前,SCA产品仍处于快速发展阶段,不断更新和优化,以适应复杂的软件开发环境和第一链的风险。
开源组件安全合规管理平台(SourceCheck)是开源网络安全SCA团队自主研发的早期SCA产品,专注于解决企业在引入开源软件时面临的安全和软件链风险挑战。 经过多年与客户的深入沟通和实践,开源网络安全SCA团队得出结论,一个成熟的SCA产品不仅需要具备先进的技术实力,还需要从业务架构、检测能力、管理能力、知识库体量、预警应急响应五个维度进行打磨和完善。 从而真正满足客户的实际需求,确保客户获得全面、高效、准确的开源软件安全风险管理体验。
经过多年的优化迭代,SourceCheck构建了更清晰的业务架构和强大的综合能力,满足各行业客户对软件链安全、开源软件风险管理、开源治理等方面的迫切需求。 SourceCheck通过结合多种检测能力、管理能力、安全预警能力、集成能力和庞大的SCA知识库能力,提供全面可靠的开源软件治理解决方案,帮助企业管理和优化开源组件和第三方库在数字化项目中的使用。
同时,SourceCheck还支持与企业现有工具和平台的无缝集成,保证分析检测数据的共享和流通,使企业能够轻松地将SourceCheck集成到现有流程中,扩展和扩展应用场景和能力,提高工作效率和协作效果。 凭借强大的自研算法和引擎,SourceCheck能够全面识别和分析数字项目中的开源组件和第三方库。 它可以对组件级、文件级、功能级、碎片级检测粒度的项目进行深度检测,不仅可以检测已知的漏洞和恶意意图级别,还可以发现不合规的License信息,识别组件篡改、组件投毒等风险。
SourceCheck通过深度扫描和智能分析,为企业提供准确可靠的软件物料清单(SBOM)和风险报告,帮助开发团队及时做出安全决策。 SourceCheck优化了用户体验和展示表单,为客户提供了更直观的界面和易于使用的管理表单,支持多级项目应用架构管理,方便客户对应用进行分类和管理。 通过多级架构,可以更好地管理和查看项目下的组件、漏洞、License等资产信息,使客户能够全面监控和跟踪其软件项目。
通过自定义选项和灵活的配置,企业可以轻松监控和管理多个项目中的组件使用情况、安全状态和合规性要求。
在知识库方面,SourceCheck提供了完整的本地化知识库,包括开源项目信息、版本信息、开源协议信息、漏洞数据库信息等。 包含的漏洞数量为400,000+,组件版本数量为1亿+,文件数量超过10亿个。
通过智能查询匹配,SourceCheck可以快速、准确地识别和分析企业使用的组件,并提供相应的建议和最佳实践,使企业能够更好地了解其软件项目中的组件,并根据最新的安全信息和合规要求做出决策。 当出现新的漏洞影响到系统中的开源组件时,系统会自动关联与开源组件对应的项目信息,并进行漏洞站点消息和邮件提醒告警,其中漏洞**包括国际国内权威漏洞数据库,包括NVD、CNNVD、CNVD、Google、GitHub等。
通过智能分析,准确判断潜在的安全威胁和影响范围,为企业提供应急响应和修复建议。 此外,SourceCheck还支持自定义安全策略和规则,以满足企业特定的安全需求和合规要求。 SCA团队秉承“求真务实,追求务实”的原则,深入企业应用场景,充分了解客户需求,打磨开源网络安全SourceCheck。 SourceCheck不仅追求功能全面,更注重业务的便利性和安全性,真正体现了“以客户为中心”的理念。 SourceCheck帮助企业全面掌握软件资产和开源的风险状况,使企业能够更准确地评估软件资产的价值,为企业技术安全决策提供有力的帮助。
SCA视角:软件组成分析技术SCA的发展。
寿险公司通过开源治理确保数字化创新,并安全地开辟高质量服务的新渠道。