开源网安SourceCheck开源组件管理平台_软件成分分析SCA

开源网安SourceCheck开源组件管理平台

开源网安SourceCheck开源组件管理平台是开源网安提供的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理，组件使用合规性审计，新漏洞感知预警，开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

立即咨询

首页 > 产品中心 > 数据计算与分析 > 开源网安SourceCheck开源组件管理平台

风险分析 - 开源组件主要安全因素 icon

开源知识产权风险

01 知识产权侵犯

不正当使用开源软件造成知识产权侵权风险

02 代码开放风险

使用GPL等许可协议，使得公司投入研发的软件被“传染”，强制开源，而带来公司技术秘密公开的风险

03 兼容冲突风险

多个开源许可协议不兼容的风险

04 合同违约风险

不遵守许可协议造成的合同违约风险

开源组件安全风险

漏洞风险

软件都是人写的，而人都会犯错，开源软件中必然存在bug，存在安全性或功能性漏洞。

供应链风险

开源软件涉及源代码共享，很多配置信息中会涉及账号密码等敏感信息，如果不对代码进行审核检查，可能会造成大量敏感信息与数据随着代码的共享而泄露。

开源组件的好处及存在的问题 icon

优势 - 使用成本低、社区支持、商业应用

•  减少成本、开源软件及源代码可以免费获取，加快项目进度
•  品质保证、大多都有开源社区支持，可一定程度上保证软件质量
•  商业价值、企业可借其实现商业目的，如直接盈利、占领市场等

存在的问题 - License及安全、专利权、采购、维护及保障

•  许可滥用、不遵守License会被投诉甚至起诉，且易引入安全漏洞
•  知识产权、此领域专利和版权相关纠纷频频发生
•  传递风险、产品外购软件可能存在违规使用开源软件的风险
•  自行修改、形成“私有开源代码”，需自行维护全部开源代码
•  及时更新、需有外部或内部团队掌握相关关键技术及获取社区支持

客户痛点

01 资产情况不明
企业不清楚组件的使用情况，

无法有效梳理及建立内部资产清单

02 安全风险无法掌握
使用的开源组件风险情况不明，

无法精准判断是否存在漏洞及合规问题

03 漏洞预警不及时
面对层出不穷的新漏洞威胁，

企业无法在最快时间得到信息反馈

04 问题修复不清晰
面对开源组件安全问题，

缺少有效的处理方案，无法快速定位处理

05 缺少管控手段
企业缺少对问题组件的管控手段，

无法实现有效管控来保障安全

06 应急分析响应慢
面对组件安全应急事件，

无法通过有效途径，快速定位影响范

业务场景

NO.1 代码合规性审计

开源软件引入时，对其许可证传染性、兼容性、其他违规风险进行合规性审计，是否违规侵权，商业闭源的注意事项等。

NO.2 安全漏洞修复

开源软件的漏洞检测、识别记录、漏洞修复及风险管理，包括后续新漏洞的感知预警，明确对自身业务影响。

NO.3 软件资产管控

规范开源软件的引入流程，明确安全评估责任机制，建立安全的企业内部开源库。

NO.4 合作责任明确

企业合作，需要出示安全检测报告，证明软件没有合规性和安全性问题，形成问责追踪机制。企业兼并对第三方代码评估审计等。

NO.5 监管政策响应

国家项目里对自主知识产权的要求，开源成分不能超过30%，金融、央企等加强风险防控等，相关领域软件知识产权纠纷司法鉴定等

产品功能

软件资产分析及可视化

• 企业、项目级的资产分布视图展示
• 组件、许可、漏洞清单多维度展示，辅助决策精准、合理的修复方案

开源组件库高覆盖

•  支持 CVE 通用漏洞披露库
•  支持CNNVD、CNVD 安全漏洞库
•  支持自研组件库管理维护
•  提供开源网安自有漏洞库

许可合规检测

•  支持组件知识产权检测，规避风险
•  专业的许可分析
•  支持授权、检查、审计场景

漏洞预警

• 实时发现最新漏洞，持续更新记录
• 提供新漏洞风险预警机制，快速感知

组件管控阻断

• 组件授权管控机制，完善合理
• 管控策略灵活，使用简单

无缝集成

•  IDE:：Eclipse、IntelliJ IDEA、PyCharm 等
•  DevOps：GitLab、Jenkins、Jira、SVN 等
•  标准API，满足企业内部各种集成场景
•  私服防火墙，构建私服安全保障

核心优势 - 海量数据，专业可靠 icon

语言覆盖广
Java、Js、Python、PHP、.NET、GO、Ruby、Swift、Objective-c、Erlang、Groovy、Scala、Perl等主流语言18种以上

包管理器多
maven、pypi、npm、yarn、gradle、composer、conan、cmake、nuget、golang、rubygems、cocoapods、Bazel、Vcpkg、Clib、rpm、apk、dpkg、apt等20多种包管理器

数据量大
拥有1亿量级知识库（国内No.1）

漏洞信息丰富
兼容CNNVD、CNVD、NVD等权威漏洞库23W+

多维检测，全面分析

SourceCheck可通过多种类型文件进行分析检测，同时可以从组件级、文件级、代码级维度进行综合分析，

获取当前软件的漏洞、许可、以及自研情况

丰富的场景

私服安全，实现私服扫描及私服防火墙保护
安全左移，研发阶段早发现早处理
持续集成，实现流水线、自动化
安全管控，黑白名单、阻断机制
安全审计，漏洞风险、合规风险

SCA与其他安全工具相比有什么突出特点? icon

与目前国内的IAST、SAST等安全工具对比来看，SCA技术具有以下优点：

检测准确性

SCA在对组件检测时，准确率能够100%

应急响应

当发生应急事件时，可以快速溯源，准确定位影响范围

软件生命周期

当发生应急事件时，可以快速溯源，准确定位影响范围

自动化

具有很高的自动化介入能力，集成DevOps等平台

修复效率高

基于组件视角，安全问题可通过升级版本进行修复，效率高且操作简单

SourceCheck - 安全设计 icon

全局搜索

项目前期安全调研必备功能可以通过搜索组件、漏洞、许可，了解引入组件风险，提前规避和指定新的组件，起到安全最前置

SourceCheck - 安全管控 icon

SourceCheck - 安全预警 icon

预警系统

风险是动态，实时掌握风险舆情变化，了解风险的影响范围，通过预警中心，了解最新安装状态

SourceCheck - 私服安全 icon

SourceCheck - 安全左移 icon

SourceCheck - 持续集成 icon

SourceCheck - 第三方集成API icon

平台支持与常用代码仓库、缺陷管理工具、SDLC、通信系统等集成，同时支持开放API对外

金融行业 | 微众银行 icon

保险行业 | 众诚保险 icon

金融行业 | 博时基金 icon

金融行业 | 度小满金融 icon

成功案例

产品推荐查看更多>>

帆软商贸零售行业数据分析解决方案

帆软商贸零售行业数据分析解决方案，打通数据价值链，构建数据化管理体系，让数据成为生产力，针对不同的层级，建设支撑决策支持与运营管控的分析体系。核心销售指标达成异常，通过数字分析体系追根溯源，培养从执行到分析的迭代优化能力。

层级管理

门店管理

KPI监控

选品规划

立即咨询查看详情

腾讯智慧零售大数据解决方案

腾讯云大数据助力品牌私域流量平台构建和流量运营，协助企业打造消费者“人人在线，直接触达”的自控流量池，并实现“忠实客户，持续购买”的良性运营循环，有效把握消费者生命周期价值，解决企业的转化困扰。

助力品牌私域流量平台构建和流量运营

协助企业打造消费者“人人在线

直接触达”的自控流量池

持续购买”的良性运营循环

立即咨询查看详情

联想LeapHD大数据平台

LeapHD帮助企业快速建立统一数据湖或数据中台，支持企业内外部数据的融合、实现海量数据的集中存储、大规模计算的并行处理、计算资源的统一管理以及高效的数据分析挖掘。在大数据的平台之上，用户可以构建相应的分析挖掘应用。

安全可靠

功能完备

立即咨询查看详情

数字化社区查看更多>>