SCA开源组件分析系统(HCS版)-

针对公司系统庞杂但是安全人员缺乏、业务迭代速度快、安全工作易被边缘化的困境，默安科技提供了完善的安全 解决方案 。默安科技雳鉴软件成分分析系统（以下简称“雳鉴SCA”），专注解决软件安全开发流程（SDL）中研发阶段的组件安全问题，是默安科技面向研发安全需求开发的基于软件安全开发生命周期管理的软件成分安全检测系统。在不改变当前研发流程和组织架构的前提下，与代码仓库（如SVN/GIT/TFS/Mercurial）无缝对接，实现开发阶段的风险组件生命周期闭环管理，以最小的代价帮助企业和组织实现组件安全的 自动化 检测，风险组件周期管理，安全质量分析，实现 开源 闭源组件的可视化管理。

1产品架构雳鉴SCA核心部分由云端安全管理平台，软件成分分析引擎，代码仓库监控引擎，数据存储中心等组成。云端安全管理平台负责项目软件成分安全检测的统一管理，软件成分风险生命周期的闭环管理，第三方组件库安全审计，报告输出以及与软件成分版本管理系统对接；代码仓库监控引擎负责拉取用户代码仓库中的代码，实时监控代码仓库的变化情况，获取代码相关信息；软件成分分析检测引擎负责源代码中软件成分的识别与安全检测；数据存储中心负责保存用户数据；软件成分知识库负责存储软件成分信息，软件成分漏洞详情，漏洞等级，修复建议等基础数据信息，协助开发人员维护组件安全。2产品组成与结构。雳鉴SCA由项目管理模块，组件库管理模块，软件成分管理模块， 镜像 扫描模块，策略管理模块，系统管理模块六个大模块组成。项目管理模块负责软件成分安全检测与统一管理，项目包含详情、模块管理列表和扫描任务列表，可在任务中设置软件成分分析引擎的相关检测策略；组件库管理模块负责对各类组件库进行检测，支持定时检测；软件成分管理模块负责对项目中扫描出的软件成分进行分析统计及管理；镜像扫描模块负责扫描容器化业务，支持获取镜像方式上传镜像以及镜像仓库，解析镜像信息，识别风险；策略管理模块支持配置策略组、自定义配置以及风险管控功能；系统管理模块负责账号权限、报表、安全组件、日志审计、 消息通知 、系统配置等相关管理策略。

2.1项目管理模块,项目管理模块根据项目/模块/任务维度进行管理，可以对每个项目进行隔离，支持安全软件开发流程管理，包括单个项目的整体安全情况，保证产品上线前的安全质量，关注组件风险的趋势，同时可反映产品迭代过程中安全问题的爆发和修复趋势。项目管理模块包含对项目新建、编辑、删除等操作，以及项目基础信息、项目进度、项目扫描动态、组件数据和漏洞数据的可视化分析呈现，让项目的管理人员能够方便的对项目进行操作，随时关注到项目的安全组件风险，了解检测的结果数据及数据分析的结果。支持定时检测模块数据，杜绝产品带病上线，整体评估项目安全性，帮助项目管理者把控项目整体的安全质量。2.2组件库管理模块,组件库管理模块负责对企业的第三方私有组件库进行管理，雳鉴SCA支持Nexus、Artifactory私库检测，支持配置定时检测以在不同时段进行仓库软件成分安全检测，详情展示均为单个组件库最新检测的数据。支持对组件库中风险组件生命周期的闭环管理，包括软件成分的风险等级、所属项目、版本号、开源 许可证 、组件推荐建议等详细信息，并且可于列表一键更新数据，同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其CVE风险分布的可视化展示，支持软件成分的分享及报告导出等操作。2.3软件成分管理模块,基于文件指纹检测以及依赖分析技术，分析获取项目中所有引用到的第三方组件，将软件成分数据回传到服务端，软件成分风险分析引擎，对第三方组件的版本风险，安全漏洞分析，许可证风险进行评估，并可视化展示。帮助用户梳理项目中的第三方组件使用情况，使用频率，使用广度进行可视化展示，针对第三方组件的风险，分为是否最新版本、安全漏洞风险、许可证风险三类，帮助用户完全掌握第三方组件的安全风险，评估对第三方组件的修复方案。提供漏洞预警能力，在组件数据更新后，可自动识别项目中是否存在新增漏洞，当0day漏洞爆发时，及时发送消息通知，为用户提供应急响应方案。2.4镜像扫描模块,镜像扫描模块支持扫描容器化业务，主要管理用户所需要组件安全测试的镜像仓库以及镜像包任务，重点展示镜像安全测试情况，镜像仓库支持harborapiV1.x、harborapiV2.x、jfrog apiV2.x等多种API版本，也可将镜像打包上传至平台解析识别风险，帮助用户更清晰的梳理镜像分布情况，扫描漏洞，评估镜像风险等级，并展示漏洞信息、镜像分层信息和组件包信息，帮助用户完全掌握镜像的安全风险，评估对镜像漏洞的修复方案。2.5策略管理模块,策略管理模块支持配置策略组、自定义配置以及风险管控功能。策略组支持用户创建策略组，涵盖组件、漏洞、许可证，以应用至不同项目场景。自定义配置中支持配置自研组件，通过指纹识别技术识别项目组件信息支持，新增自研组件信息，通过指纹识别技术识别项目组件信息以及支持对许可证等级进行变更。风险管控中雳鉴 SCA 质量门在使用组件时进行安全检测，建立安全可信的组件库，雳鉴 SCA 虚拟库代理Maven以及NPM中心仓库，让风险组件无法引入应用程序中，保障应用程序安全。2.6系统管理模块,系统管理模块包括报表管理、账号管理、系统信息、授权配置、邮件通知、WebHook通知、系统升级、全局配置、IP白名单、日志审计、帮助中心等功能。账号管理功能帮助项目管理员将项目的安全问题分配给相应的研发人员进行确认和修复，从而在企业IT部门内部建立起一套完整的安全开发流程，不同的用户可于管理页面直观清晰了解所有项目的组件风险情况，契合软件开发流程中的人员角色分配；系统信息功能帮助使用者实时关注雳鉴平台使用情况，包括CPU占用率，网络带宽情况，内存使用率。系统升级功能支持通过离线升级包快速升级，实时专人在线保证雳鉴平台升级。系统配置功能让雳鉴平台可根据各种业务环境调整配置，适应各种网络环境。IP白名单功能限制登录雳鉴SCA的主机，设定登录白名单，有效阻止风险。2.7第三方集成模块2.7.1 Jenkins集成,Jenkins是当今使用最常用的开源持续集成（CI）工具之一，用于DevOps流程中，开发团队可以使用Jenkins完成整个自动化管理构建过程。雳鉴SCA提供Jenkins插件与Jenkins CI项目集成，在DveOps流程中加入安全测试，形成DevSecOps方案。雳鉴SCA通过与Jenkins pipeline工作流框架的集成，将自动化软件成分安全测试融入到pipeline测试流程中，实现DevSecOps目标。2.7.2 JIRA集成,JIRA是当前企业常用的bug管理平台，雳鉴SCA支持JIRA的一键同步，即可将雳鉴SCA发现的风险软件成分一键导入到JIRA平台，实现风险软件成分持续跟踪管理，将风险组件跟踪与企业工作流对接，形成风险组件闭环管理。2.7.3 禅道集成,禅道是当前企业常用的bug管理平台，雳鉴SCA支持禅道的一键同步，即可将雳鉴SCA发现的风险软件成分一键导入到禅道平台，实现风险软件成分持续跟踪管理，将风险组件跟踪与企业工作流对接，形成风险组件闭环管理。2.7.4 Ldap集成,通过分析企业应用集成,并针对基于LDAP或AD域统一用户管理平台的技术特征,设计实现在雳鉴SCA平台上集成LDAP或AD域后用户同步的一种解决方案,有效地实现了在基于雳鉴SCA环境下集成 LDAP或AD域统一用户管理平台后用户信息的共享。2.7.5IDE集成,Eclipse 与IDEA都是一个基于Java的开发平台。雳鉴SCA提供Eclipse插件、IDEA插件实效检测代码安全，快速定位风险路径，高亮展示风险组件，快速定位风险组件位置。将安全测试左移，尽早的发现、预防问题，以降低修复问题的成本，提高研发工程质量。