孝道科技明道SCA开源软件成分分析系统_开源组件安全分析与治理软件

立即咨询

立即试用

商务合作

孝道科技明道SCA开源软件成分分析系统

孝道科技明道 SCA 开源软件成分分析系统，集成开源组件安全分析与治理软件、开源威胁治理管控平台核心能力。可自动识别开源组件、分析安全风险，实现威胁全流程管控，助力企业合规管理开源资产，筑牢开源软件安全防线。

立即咨询

开源软件安全治理困境 icon

看不到--开源风险

是否已停止更新维护?
开源项目安全性?健康度?
社区活跃度?
是否存在漏洞?
是否存在许可侵权风险？

理不清--存量资产

存量项目是否存在风险开源组件？
新爆的漏洞影响哪些项目？
风,险组件的引入位置在哪？

外采现货软件是否存风险开源组件？

管不住--违规使用

开发人员随意下载、引用组件行为?
哪些开源组件属于违规禁止范畴?
DevOps敏捷开发如何管控？
项目交付时间紧迫？

修不了--开源漏洞

选择哪个版本修复（兼容性、层层依赖）
海量漏洞预警堆砌，修复优先级无法排序
软件外采无源码、供应商断供
断供组件、官方未提供修复补丁

系统功能架构

解决开源风险看不到

风险

开源项目是否已停止更新维护？
开源项目安全性？健康度？社区活跃度？

解决方案

1、基于OpenSSF组织提出的开源软件评估模型，从成熟度、安全性、健康度、稳定性等多维度提供更全面的评分系数
2、针对社区停止更新维护的开源项目，提供替换修复建议

风险

是否存在已知漏洞？
是否存在许可侵权风险？

解决方案

1、提供组件版本、漏洞、篡改等开源威胁情报信息

2、提供开源许可特征、条款权限等提供专业角度分析;基于许可特性、项目属性等维度评定许可风险

解决存量项目理不清

存量项目是否存在风险开源组件？

解决方案：1、对接代码库、制品库对存量项目统一分析形成开源资产清单
2、基于开源威胁情报库自动建立风险清单。

风险组件的引入位置在哪？

解决方案：1、通过嵌套调用分析，解构项目基础架构，输出清晰、可视化的应用血缘图谱与风险溯源
链路。

新爆的漏洞影响哪些项目？

解决方案：1、基于开源资产清单，自动完成影响分析
2、推送漏洞告警信息给相关负责人。

外采现货软件是否存风险开源组件？

解决方案：1、支持二进制、容器、laC、制品安装包等类型的成分分析。

解决违规使用管不住

如何管控开发人员随意下载、引用组件行为？

解决方案：1、对私服仓库下发防火墙插件实现对违规组件、风险操作阻断
2、对违规风险操作记录生成日志用于安全追溯。

DevOps敏捷开发如何管控？

解决方案：1、CI/CD pipline调用SCA检测通过插件下发管控策略，对违规风险项目实现上线前卡点

哪些开源组件属于违规禁止范畴？

解决方案：1、支持多维度自定义检测和阻断策略
2、帮助企业根据自身实际和需求，定制化策略标准
3、对黑名单开源组件全生命周期监管、禁止入内。

项目交付时间紧迫，安全被迫让步？

解决方案：1、安全左移，从选型、引入、发布多环节管控
2、数字“靶向”组件修复技术无需修改源码情况下，对漏洞实现无感知修复

解决开源漏洞修不了

不清楚选择哪个版本来修复
漏洞代码片段链路不清晰

解决方案：1、基于组件依赖链路修复技术，判断组件及其依赖链路的安全性，溯源漏洞引入路径及代码片段定位

2、提供多种修复方案，供开发人员依据现状选择合适的修复方式。

海量漏洞预警堆砌，无法快速排序风险修复优先级

解决方案：1、基于漏洞可达性分析技术，通过源码分析，识别软件项目中是否存在漏洞风险特征函数，从而判断漏洞真实调用链路
2、综合危害评估（POC、EXP、漏洞危害等级、漏洞利用难度、影响范围），目自动标记排序风险处置优先级

断供组件、官方未提供修复补丁、0day漏洞无法修复
升级组件版本带来的兼容性问题（例如spring框架类需要升级jdk）
软件外采无源码

解决方案：1、基于数字“靶向”组件修复技术，实现运行时应用漏洞码修复，做到不错防、不漏防，无需源码、无兼容性问题。

依赖修复

传统SCA专注于组件成分识别和漏洞分析，针对开发阶段的组件风险修复，大部分产品仅能做到提供官方修复方案、或提供一个无漏洞版本作为修复版本。但开发人员采用这种解决方案后，往往会出现以下几种风险：

① 修复过程会引入新依赖项、或因旧依赖项变更，导致引入新的依赖漏洞。

产品架构

② 直接依赖与间接依赖之间的修复版本冲突

③ 间接依赖无法修

实现原理

SCA持续从各大官方开源组件仓库、开源社区等获取组件依赖关系，并关联漏洞库、统计依赖漏洞数据，形成组件依赖链路图谱;应用于SCA成分分析、依赖关系构建，以及提供组件依赖修复方案。

使用场景

1、SCA知识库中可查阅组件依赖列表，通过该列表可查询组件依赖链路及依赖漏洞情况。

使用场景

2、除了针对风险组件，SCA会推荐版本差异最小的安全版本作为最小修复版本外，还会识别组件依赖链路中是否存在依赖漏洞，并提供依赖修复建议;同时，组件依赖树中也会呈现自身及依赖漏洞的引入情况。

使用场景

3、在检测报告中，SCA同样会输出多种修复方案，建议用户优先采用依赖修复方案，以保障组件依赖链路安全。

基于AI二进制分析

1、白启发二进制解包识别文件格式;
2、基于函数级（向量）的二进制相似度匹配，基于卷积神经网络（CNN）的二进制函数相似度模型进行函数级特征向量嵌入，识别被检测文件中的开源组件;
3、支持基于调用关系的二进制相似度匹配，通过可执行文件内的函数控制条件与数据流向的调用关系图进行分析;
4、支持基于二进制文件基础特征、字符串匹配、向量匹配、分词匹配、调用关系匹配等多维度评估开源软件相似度;

开源组件选型工具

根据用途进行分类（数据库、日志处理、10、消息等），并提供热门组件的健康度（包括：项目年龄、贡献者数量，问题更新频率、发版频率等）和安全性评分;基于建设项目的功能特征，以开源组件的健康度、许可特性、版本及安全性为依据，以可视化方式提供项目开源组件选型构建能力并可以包管理器类型生成对应的依赖管理文件。

laC安全检测

支持对docker、kubernetes配置文件安全检测。

制品仓库防火墙

不需要采用代理仓库支持对违规的风险操作，包括上传组件等操作实时阻断，防止风险污染私服仓库、或将风险组件引入开发环境

漏洞可达性分析

基于漏洞可达性规则验证库，通过源码分析，识别漏洞风险特征函数，从而判断漏洞在项目代码中是否存在漏洞调用链路语义文件哈希匹配技术。

数字“靶向”修复技术无感治疗开源组件漏洞 icon

基干漏洞book点精准防御，通过iava aqent注入技术，实现运行时应用程序漏洞识别与修复。

某银行实践案例

项目实施前后时效对比 icon

公司简介

杭州孝道科技有限公司【安全玻璃盒】是国家高新技术企业，总部位于杭州，致力于为用户提供软件供应链安全解决方案，是国内软件供应链安全领航者。
公司拥有百余项自主知识产权，专业为用户提供DevSecOps、软件供应链安全、上线即安全及免疫防御解决方案。业务覆盖金融、政府等领域的数百家用户，包括中国证券监督管理委员会、兴业银行、浙商银行、浙江省农信、广东省农信、河北省农信、广西自治区大数据发展管理局、浙江省医保局、中国移动、中国联通、国家电网、物产集团、大华股份等Top级典型用户成为省级专精特新中小企业、省级高新技术企业研究开发中心、IDC中国DevsecOps技术创新者。携“开源软件供应链安全管理系统”入选工信部网络安全技术应用试点示范项目。

企业资质