上海探巡科技有限公司,软件供应链现代化领导者, 聚焦应用现代化和安全运营治理能力建设
探巡开源大师软件成分分析系统软件(简称探巡SCA或开源大师SCA)
探巡开源大师软件成分分析系统软件(SCA)通过对开源项目进行多维度全方位分析,能够无缝集成到用户的软件开发周期中,协助用户更好的洞察其代码中所存在的所有风险,从而实现更快,更低成本的修复。近日,探巡开源大师SCA已顺利通过CNNVD(国家信息安全漏洞库)认证评估,获得兼容性资质证书。
开源大师 SCA产品功能
软件溯源分析
- 源代码溯源
- 软件自主率评测
- 代码相似度比对
- 依赖溯源
- 依赖关系分析
- 二进制文件溯源
- APK开源组件分析
- 容器开源组件分析
- SBOM生成
4500万个开源组件及版本组件信息+特征
漏洞分析
- 精确漏洞影响CPE匹配
- 漏洞函数及片段收录
- 修复代码识别减少误报
- 漏洞可达性分析
- 组件级兼容性修复建议
- 片段级修复建议
- 漏洞预警
- CVE+CNVD+CNNVD+私有漏洞库
25万条漏洞数据
许可证分析
- 组件级许可证关联(1:1,1:N)
- 文件级许可证信息提取
- 代码注释级许可证信息提取
- 项目-组件许可证冲突分析
- 组件-组件许可证冲突分析
490种常用许可证
DevSecOps支持
- IDE工具集成
- SCM工具集成
- CI工具集成
- 制品管理工具集成
- 问题/项目管理工具集成
- K8S部署
- 内置构建
多场景下精准扫描
组件识别
通过项目检测功能
调用不同检测引擎分析项目及识别风险
以检测不同语言及文件识别所有开源及三方组件
通过完成OSS物料清单
以确定哪些是易受攻击的组件,哪些是不易受攻击的组件
通过组件完成基线
按项目或组件归类统一梳理组件基线
利用组件详情识别关联性并输出清单
漏洞识别及管理
开源大师SCA的各种漏洞信息来自于多种渠道,包括:NVD, CNVD, CNNVD, SCMs(如Github, Gitlab, Bitbucket等), 还有来自流行库上的公共提交,如Bugzilla和Confluence等漏洞追踪器
每6小时更新16TB的数据
支持所有流行的开源库
合规管理
许可和策略管理系统
可根据每个企业不同的需求,进行策略的定制实施
可根据库的使用年限进行策略制定
可基于限制性许可条款和特定库名称制定策略
可采取的修复建议
开发人员更关注修复建议
支持一键修复所有漏洞
开发人员可以实现的根级别修复,包括兼容性分析
相关参考链接均来自于已经核实过的来源
加速漏洞修复和应用上线时间
通过明确委派对应的漏洞修复和跟踪人员,来实现内置问题的管理
JIRA/Github集成
扫描引擎
源代码扫描引擎
二进制扫描引擎
容器扫描引擎
APK扫描引擎
软件克隆扫描引擎
提供分布式部署能力解决大规模并发需求
系统提供K8s分布式部署能力,解决客户大规模并发扫描场景需求
系统同时提供软硬一体机部署、虚拟机单体部署等其他部署方式,以满足用户不同场景的部署要求
与软件开发流水线集成
IDE 集成, 可为您的开发人员提供即时扫描结果。
源代码控制管理集成, 便于扫描和检测代码更改
制品管理集成
提供触发自动扫描的持续集成工具,可在您的项目中获得更全面、更准确的扫描结果
当监测到代码漏洞时会主动向开发人员发出告警
管理许可条款的合规性
根据您的组织需求使用定制的策略规则进行可扩展的 OSS 治理
基于库的使用名称,使用年限进行策略制定
基于许可条款和许可属性等的策略
基于漏洞评分、特定 ID 等的策略
开源大师SCA为企业带来的价值
加快应用上市时间,提升SDLC整体周期
降低脆弱性管理成本
高效利用安全资源
合理降低安全和合规投入
改善法律合规问题,降低企业法律风险
快速且高效的修复过程
提升应用开发效率
为所有常用语言提供一站式服务,企业只需运维一套SCA产品降低运维成本和复杂度