産品概述

開(kāi)源軟件(jiàn)成分(fēn)分(fēn)析系統（簡稱-SCA）是(shì)基于開(kāi)源項目元素、文(wén)件(jiàn)特征、代碼片段等數(shù)據為(wèi)基礎研發的(de)軟件‌(jiàn)風(fēng)險分(fēn)析系統，主要(yào)面向企業(yè)開(kāi)發項目中開(kāi)源組件(jiàn")引入的(de)檢測需求，在滿足當前開(kāi)發模式的(de)前提下(xià)，與源代碼管理(lǐ)系統（Git、SVN等）、制(zh÷ì)品庫（Nexus、Artifactory）、缺陷管理(lǐ)系統（如(rú)Jira、禅道(dào)等）、持續集成工(gōng)具（如(rú)Jenkins）無縫對(duì)接，實現(xià¥n)了(le)軟件(jiàn)成分(fēn)分(fēn)析、成分(fēn)中的(de)已知(zhī)漏洞分(fēn)析及評估、許可(kě)證分(fēn)析、漏洞範Ω圍影(yǐng)響分(fēn)析等功能(néng)，幫助組織快(kuài)速構建代碼安全保障體(tǐ)系。

産品特色

➢基于靜(jìng)态分(fēn)析和(hé)包管理(lǐ)器(qì)構建跟蹤分(fēn)析技(jì)術(shù↕)

本系統基于項目組件(jiàn)包管理(lǐ)文(wén)件(jiàn)的(de)特性，在項目構建過程中，針對(dΩuì)組件(jiàn)特征的(de)提取方法以及包與包之間(jiān)的(de)關聯性，通(tōng)過引擎算(suàn)法分(fēn)析出被測項目的(de)開(kāi)源♦組件(jiàn)依賴關系樹(shù)，形成了(le)項目的(de)SBOM文(wén)件(jiàn)，并具備分(fēn)析風(fēng)險組件(jiàn)的(de)能(néng)力。基于包管理(lǐ)器(qì)的(de)分(fēn)析技(jì)≠術(shù)，可(kě)以脫離(lí)源碼的(de)分(fēn)析依賴，既能(néng)保證源碼不(bù)外(wài)洩，又(yòu)能(néng)快(ku♠ài)速獲取項目的(de)開(kāi)源成分(fēn)，相(xiàng)較于其他(tā)同類工(gōng)具，能(néng")夠适應更多(duō)的(de)分(fēn)析場(chǎng)景，取得(de)更加精确的(de)分(fēn)析結>果。

➢文(wén)件(jiàn)哈希的(de)精準匹配技(jì)術(shù)

本系統采取了(le)文(wén)件(jiàn)哈希精準匹配技(jì)術(shù)，通(tōng)過分(fēn)析計(jì)算(suàn)項目中包含文(wén)件(jiàn)的(de )哈希值和(hé)文(wén)件(jiàn)的(de)基礎特性，跟系統基礎知(zhī)識庫進行(xíng)精準比對(duì)，通(tōng)過文(wén)件(jiàn)哈希特征來(lá↓i)獲取開(kāi)源組件(jiàn)的(de)基礎信息，從(cóng)而分(fēn)析出整個(gè)項目的(de)開(kāi)源組件(jiàn)成分(fēn)，©并且根據文(wén)件(jiàn)其他(tā)基礎特征還(hái)可(kě)篩選出被篡改的(de)開(kāi)源組件(jiàn)，降低(dī)植入後面的(de)風(fēng)險。§解決了(le)一(yī)些(xiē)早期未采用(yòng)包管理(lǐ)工(gōng)具的(de)項目、第三方引入項目，以及排除了(le)包管理(lǐ)文(wén)件(ji÷àn)的(de)三方成品軟件(jiàn)等情況。

➢組件(jiàn)及漏洞自(zì)動對(duì)齊技(jì)術(shù)

本系統采取動态組件(jiàn)漏洞對(duì)齊方式，監控主流安全網站(zhàn)的(de)漏洞信息，進行(xíng)歸并和(hé)梳理(lǐ)，同步至漏洞數(shù)據庫，确保漏洞信息的(de↔)一(yī)緻性和(hé)完整性，明(míng)确不(bù)同組織對(duì)漏洞評估的(de)差異性；自£(zì)動化(huà)獲取各大(dà)開(kāi)源社區(qū)和(hé)在線組件(jiàn)倉庫的(de)組件(αjiàn)元素，并建立一(yī)個(gè)完整的(de)開(kāi)源組件(jiàn)信息中心；系統通(tōng)過對(duì)漏洞關聯組件(jiàn)的(de)特征值進行(xíng)算(suàn)"法匹配，再用(yòng)多(duō)源校(xiào)驗的(de)方法，對(duì)存疑漏洞進行(xíng)公司內(nèi)部安全專家(jiā)人(rεén)工(gōng)核驗，确保組件(jiàn)漏洞數(shù)據的(de)有(yǒu)效性。在組件(jiàn)漏洞對(duì)齊過程中建立一(yī)±個(gè)信息準确且有(yǒu)效的(de)公開(kāi)漏洞信息數(shù)據中心。

➢組件(jiàn)漏洞熱(rè)防護技(jì)術(shù)

本系統創新性融入組件(jiàn)漏洞熱(rè)防護技(jì)術(shù)，通(tōng)過對(duì)運行(xíng)時(shí)應用(yòng)的(de)軟件(jiàn)成分(fēn)分(fēn)析，獲取開(kāi)源組件(jiàn)及漏洞信息、✘位置和(hé)影(yǐng)響範圍，利用(yòng)Java Agent和(hé)Agent注入技(jì)術(shù)，實現(xiàn)對(duì)Java應用(yòng)程序運行(x✔íng)時(shí)允許修改字節碼，确保修複的(de)代碼與原始代碼相(xiàng)兼容，修複代碼在運行(xíng)時(shí)通(tōng)過替換原始代碼塊、修改變量值或調用(yòn♣g)其他(tā)安全函數(shù)，攔截或修補組件(jiàn)漏洞點。

産品特色

➢完美(měi)融入項目開(kāi)發全生(shēng)命周期

SCA能(néng)夠完美(měi)融入項目開(kāi)發全生(shēng)命周期中，做(zuò)到(dào)“無縫”、“無感知(<zhī)”、自(zì)動化(huà)地(dì)集成DevOps流程中。

➢數(shù)據采集能(néng)力

SCA對(duì)接國(guó)內(nèi)外(wài)多(duō)種數(shù)據源、開(kāi)源代碼社區(qū)，通(tōng)過自(zì)♥動化(huà)的(de)數(shù)據清洗、信息匹配、元素分(fēn)析、數(shù)據聚合等流程，獲取精确且具備時(shí)效性的(de)數(shù)據信息。通(tōng)過開(kāi)₽源軟件(jiàn)成分(fēn)分(fēn)析、依賴分(fēn)析、特征分(fēn)析、代碼片段分(fēn)析等技(jì)術(shù)精确識别軟件(jiàn)中的(↔de)開(kāi)源軟件(jiàn)信息。

➢支持多(duō)樣化(huà)的(de)分(fēn)析方式和(hé)檢測多(duō)類型文(wén)件(jiàn) 

語言檢測：支持Java、JavaScript、Python、PHP、Golang、C#、Ruby等主流編程語言的(de)檢測；

部署包制(zhì)品檢測：支持上(shàng)傳靜(jìng)态應用(yòng)包進行(xíng)開(kāi)源安全檢測。通(tōng)過在平台上(shàng)傳源碼包、二進制(zhì)部署包等應用(yòng)包β，對(duì)其進行(xíng)開(kāi)源組件(jiàn)安全檢測，支持上(shàng)傳的(de)應用(yòngγ)包格式如(rú).rar, .zip, .tar, .tar.gz, .tgz, .tar.bz2, .jar, .war；π

依賴包管理(lǐ)器(qì)檢測：支持maven、gradle、npm、pypi、Go Modules、Composer等主流包管理(lǐ)器(qì)。