AI 智能时代,软件定义万物,数字技术已逐渐成为支撑社会正常运转的最基本元素之一。
随着软件开发过程中开源应用的日趋普及和大范围应用,开源应用事实上逐渐成为了数字技术开发的核心基础设施,混源开发也已成为主流的数字应用开发交付方式,软件供应链的安全问题也已被上升到基础设施安全和国家安全的高度来对待。
数字应用开源化,导致软件供应链的各个环节都不可避免受到开源应用风险的影响,尤其是开源应用的安全性问题,将直接影响采用开源应用的相应软件供应链的安全。除了应用开发者因疏忽和不重视导致的开源应用安全漏洞、代码缺陷和软件许可合规风险,还可能存在其他安全风险,比如,具有非法目的开发者故意预留的开源应用安全后门,甚至还有恶意攻击者伪造的含有隐藏性恶意功能的异常行为代码被故意上传到上游开源代码托管平台,实施定向软件供应链投毒攻击等。上述开源应用中存在的众多安全问题,导致软件供应链的安全隐患大大增加,安全形式更加严峻。
工信部十四五软件和信息技术服务业发展规划中提到全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源 ,开源软件已经成为软件产业创新源泉和“标准件库”。
工欲善其事,必先利其器。
作为新一代开源数字供应链安全审查与治理平台,源鉴SCA深度融合悬镜安全(官网访问地址:悬镜安全-DevSecOps数字供应链安全开拓者)原创的代码疫苗技术,作为国内突破性集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引警的多模SCA开源治理平台,快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力。
产品架构
核心能力
- 组件依赖及风险检测。基于悬镜独有的运行态代码级开源软件成分检测,深入分析引入开源组件的直接和间接依赖关系,形成可视化图诺,并进行许可证风险判定和漏洞风险关联分析。
- 代码溯源分析。基于代码成分溯源引擎,通过智能同源分析算法和大数据指纹库检测代码片段的相似度,分析源代码漏洞风险、许可证合规兼容风险以及源代码自研率。
- 二进制制品检测。基于制品成分二进制分析引擎,在无法访问应用程序源代码时,源鉴SCA可通过二进制程序溯源其所包含的开源代码库,分析其中的漏洞风险、许可证风险和敏感信息风险。
- 容器镜像检测。内置智能容器镜像检测引擎,通过扫描容器仓库内的镜像,发现开源组件漏洞、软件包漏洞、敏感信息等,及时排除在打包镜像过程中可能引入的不安全因素。
- 私服库安全控制。支持集成SonatypeNexus、JFrogArtifactory等主流私服仓库,并对风险组件进行入库出库拦截,实现引入来源控制。
- SBOM检测。支持对标准格式DSDX、SPDX、SWID、Cyclone DX的SB OM文件进行检测和导出,并结合供应链情报进行实时精准的全局资产动态预警。
产品价值
- AI驱动风险检测。基于LLM大模型,实现AI自动化分析开源许可证风险,帮助企业全面了解许可证法律合规问题。且提供AI成分分析能力,快速检测A生成代码,规避其潜在安全风险,
- 开源组件风险分析。自动梳理公司组件资产,可视化展示依赖关系并关联组件漏洞影响范围,实时跟踪预警、及时回溯,为解决组件风险快速提供依据。
- 高效的风险处置流程。可无感接入企业原有DevOps流程,持续自动获取应用组件数据,治理存量和增量组件存在的风险,并将检测结果提交至企业Bug管理系统中,方便开发人员高效处置。
- 完善的闭环修复方案。结合漏洞修复优先级提供详细的漏洞修复过程,同时通过计算,给出一次性修复最多问题的组件级别推荐修复版本,提高开发团队的作业效率。
- 赋能信创生态。支撑与国产主流信创环境的兼容适配,并提供一键数字应用供应链安全审查服务,确保信创应用快速符合相关监管要求。
扫一扫
1478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
