元健SCA开源威胁管控平台作为新一代开源数字链安全审查治理平台,深度融合了挂镜首创的一流疫苗技术,是国内首个集成分溯源、产品成分二进制分析、运行时成分动态跟踪三大核心引擎于一体的多模式SCA开源治理平台, 以及链的安全情报和预警能力。
架构升级
支持高可用性、完全容器化部署
如果说引擎是产品检测的命脉,那么底层架构就是产品可用性的命脉。
资料来源: sca 4版本 4 在底层架构层面进行了改进和升级:支持 Docker、Docker Swarm、K8S、K3S、Container Cloud,并提供自动容器调度和负载均衡机制,保证容器在集群中的均衡分布,大大提升了系统的高并发性和高可用性。 支持数据分布式持久化存储,提高并行数据的处理能力和响应速度,通过数据冗余和备份提高系统的容错能力,保证数据的可靠性和持久性。
在数字化链安全审查过程中可以实现两者的结合实时检测流畅不间断,大规模并发不卡顿,故障转移不易察觉,无论是云环境还是复杂组件资产的场景,都可以轻松应对。
赋能信息和创新生态系统
提供一键式数字**链安全审查
元建SCA赋能信息创新监管合规,始终坚持自主研发技术引擎赋能开源数字**链风险治理,4第4版支持与国内主流信息化创新环境的良好兼容性和适配性,包括x86 64 aarch64 CPU架构等基础运行环境,OpenEuler、OpenAnolis、麒麟等操作系统,以及TIDB和TDSQL等数据库,助力国内信息创新生态链建设,建立自主、 可控、安全、可信的模型基准。
同时,源 sca 提供一键式数字链安全审查服务,覆盖数字应用的软件源**、源**指纹、软件安装包和产品包,加强对信息源和创新应用的组件和来源的安全管理,确保信息化和创新应用快速满足相关监管要求。
动态仿真构建+ 静态特征检测
实现源代码级组件依赖关系解析
与传统的静态SCA检测相比,源SCA 44、在检测能力方面,采用动态仿真构造方法,模拟组件的编译和构造过程,结合静态分析方法检测组件依赖性和漏洞,大大提高了组件依赖分析的准确性和组件漏洞匹配的准确性。 此外,与运行时 SCA 相比,这种解析方法不需要通过检测模式进行检测,这在用例中更简单。
二进制引擎升级
产品成分深度分析
在数字链的交付和采购阶段,对于购买的第三方产品,无需提供来源,以二进制产品文件的形式动态评估数字化应用业务中涉及的开源链的风险,挖掘和识别隐藏的新风险, 明确责任,高效及时发现问题,实时推送维修建议。
SCA产品的二进制分析引擎在结合丰富的知识库样本和基于多维特征的相似性检测算法的技术优势的基础上,增加了安装包的特征检测功能,进一步加强了编译选项的风险识别,在固件等主流格式的基础上,扩展了对更多文件格式的支持, APK、镜像、JAR包,显著提升了二进制组件的深度分析能力。
恶意文件检测
智能识别容器镜像风险
源SCA内置智能容器镜像检测引擎,支持与Docker Registry、Harbor、GitHub、Jfrog Artifactory、Sonatype Nexus、华为云、阿里云等镜像仓库对接,可以识别容器镜像的基础环境、软件组件和依赖,发现相关镜像开源组件的漏洞和敏感信息。 它还提供了识别容器镜像中恶意文件的能力,并通过文件哈希比对、文件名或文件类型检查、文件依赖分析等方式扫描容器镜像中的文件,从而在容器部署前及时发现潜在的恶意文件,提高容器镜像的安全性,降低对系统进行恶意攻击的风险, 并确保容器镜像的安全性。
轻轻地嵌入到 CI CD 管道中
实时监控过程风险
SCA 产品的使用并不意味着它在开发和构建-持续交付-持续集成阶段停滞不前和受阻,Sourcesca 4版本 4 可以插件或流水线的形式无缝嵌入到企业原有的 CI CD 流水线中,实时监控流程风险,对不符合基线要求的构建进行及时告警或阻止,从而快速识别和修复风险漏洞,同时兼顾效率和安全性。
组件配置灵活
安全基线和检测策略
资料来源: sca 44、为组件安全管控基线及相关黑名单、白名单检测策略提供更灵活的配置选项,实时精准推送风险结果告警和指导方案,方便用户根据报表中的组件升级方案或漏洞修复指导方案,随时防范和处置相关风险。
四大能力优化
1.独立扩展源码指纹数据库
资料来源: sca 4第4版支持源码指纹数据库的自主扩容,用户可以根据自己的需求扩展新的商用、自研和开源的指纹数据库,结合源码SCA本身提供的源码指纹知识库,提高指纹库的覆盖率和准确性,帮助源码识别和分析, 实现更高效、更准确的源自研率分析。
2. 优化本地源码指纹提取能力
资料来源: sca 4版本4优化升级了本地生成源码指纹的功能,客户端只在本地提取指纹信息,保证用户源码数据的安全性:支持提取源码特征文件和源码指纹令牌; 无需连接SCA平台,可离线提取源码指纹包,本地生成源码指纹包后,可离线上传源码指纹包进行检测。
3. 组件依赖图优化
资料来源: sca 4在原有以动态图形式展示组件依赖关系的基础上,版本4根据项目或应用中组件的实际引入,以模块化或节点的形式更清晰清晰地展示项目或应用下模块节点之间完整的组件依赖关系,并能根据模块节点和组件风险等级对关联的组件依赖关系进行过滤, 并支持查看单个组件的上下依赖关系,组件依赖关系和风险一目了然。
4、检测结果风险报警
资料来源: sca 4版本 4 提供了通过电子邮件或 webhook 协议(奇微、钉钉、飞书等)自定义检测结果访问的能力,结合质量访问控制检测策略,实现相关检测结果和风险的自动实时推送。
SCA技术已经成为数字链开源治理的关键入口。 作为第三代DevSecOps数字链威胁管理系统开源治理环节中的新一代开源数字链安全审查治理平台,元建SCA还拥有自主研发的专利级成分溯源引擎、产品成分二进制分析引擎、运行时成分动态跟踪引擎、容器镜像扫描引擎,可深度挖掘各种安全漏洞和开源协议风险隐藏在开源组件中,帮助企业从引入源头、开发过程、运营监控、多维度闭环治理开源威胁,持续守护中国数字链的安全。