悬镜源鉴SCA开源威胁管控平台-

技术概述:

• SCA（Software Composition Analysis, 软件成分分析）技术是Gartner定义的一种应用程序安全检测技术，该技术用于分析 开源 软件以及第三方商业软件涉及的各种源码、模块、框架和库等，以识别和清点开源软件的组件及其构成和依赖关系，并检测是否存在已知的安全和功能漏洞、安全补丁是否已经过时或是否存在 许可证 合规或兼容性风险等安全问题，帮助确保企业软件供应链中组件的安全。
• 软件成分分析分为两种模式，静态和动态。静态模式是使用工具对目标源代码或二进制文件进行解压，识别和分析各个部分的关系；动态模式则是依赖于活动过程，在活动执行的同时收集必要的活动元数据信息，通过数据的方式对目标组件各个部分之间的关系进行标定。
• 通过使用SCA技术快速跟踪和分析项目中引入的第三方开源组件，将开源组件及其直接和间接依赖关系、漏洞信息、开源许可证等信息生成软件物料清单(SBOM)，提供项目软件资产的完整信息，帮助企业或团队对软件资产进行安全管理。

产品简介:

• 悬镜源鉴SCA开源威胁管控平台（以下简称“源鉴SCA”）为运行态SCA产品，作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全管理平台，专注于解决企业内引入的开源软件及软件供应链的开源安全风险问题。源鉴SCA基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测等核心能力，结合悬镜独有的应用探针技术，精准识别软件开发人员在应用开发过程中引用的第三方开源组件，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。通过 自动化 生成规范性机器可读、国际通用标准格式的软件物料清单（SBOM），透明化软件供应链资产，保障软件供应链安全。
• 相比于传统的SCA检测平台，源鉴SCA引擎基于运行态的代码级开源软件成分检测，更加侧重于应用系统实际运行过程中动态加载的第三方组件及依赖，在此基础上进行更深度且更加有效的威胁分析。同时，源鉴SCA通过智能化 大数据 漏洞情报监测引擎，在全球范围内获取开源组件信息及其相关漏洞情报，降低由开源组件带来的安全风险，保障 数字化 应用的安全。
• 源鉴SCA不但能帮助安全团队准确并全面地掌握应用中存在的开源风险态势，而且可以助力开发人员精确获知漏洞详细的引入位置，确定补救工作的优先级并集中精力修复高危漏洞，显著减少漏洞修复时间，降低企业开源治理成本，提升企业软件供应链安全管理效率。

产品功能:

• 开源组件资产识别梳理
• 开源组件漏洞风险检测
• 开源组件许可风险分析
• 开源组件依赖关系图谱
• 开源组件漏洞情报推送
• 源代码同源自研率分析
• 私服库防火墙安全控制
• 容器镜像 智能安全扫描