默安科技雳鉴SCA软件成分分析系统(以下简称“雳鉴 SCA”),专注解决软件安全开发流程 (SDL)中研发阶段的组件安全问题,是默安科技面向研发安全需求开发的基于软件安全开发生命周期管理的软件成分安全检测系统。在不改变当前研发流程和组织架构的前提下,与代码仓库(如 SVN/GIT/TFS/Mercurial)无缝对接,实现开发阶段的风险组件生命周期闭环管理,以最小的代价帮助企业和组织实现组件安全的自动化检测,风险组件周期管理,安全质量分析,实现开源闭源组件的可视化管理。
雳鉴 SCA 核心部分由云端安全管理平台,软件成分分析引擎,代码仓库监控引擎,数据存储中心等组成。 云端安全管理平台负责项目软件成分安全检测的统一管理,软件成分风险生命周期的闭环管理,第三方组件库安全审计,报告输出以及与软件成分版本管理系统对接;代码仓库监控引擎负责拉取用户代码仓库中的代码,实时监控代码仓库的变化情况,获取代码相关信息;软件成分分析检测引擎负责源代码中软件成分的识别与安全检测;数据存储中心负责保存用户数据;软件成分知识库负责存储软件成分信息,软件成分漏洞详情,漏洞等级,修复建议等基础数据信息,协助开发人员维护组件安全。
雳鉴 SCA 支持通过本地上传文件检测,支持 SVN/GIT/TFS/Mercurial 等代码仓库获取第三方组件进行检测,支持对代码仓库中的组件进行定时的安全体检,并自动聚合同地址(或同标签)任务生成比对信息,实时反馈至雳鉴 SCA 云端安全管理平台,帮助研发人员定位问题并提供解决方案,便于开发人员及时修复组件。 在不改变原有的研发流程情况下,无感知的对代码仓库进行安全检测,最大限度的减少研发人员的额外工作量,完美融入研发流程,全面覆盖研发人员在编码中和编码后的安全问题。
对研发过程参与者进行安全赋能
将安全嵌入到软件开发的每个阶段,要将安全的能力赋予产品设计人员、研发人员和测试人员,通过将安全技术进行封装等方式,确保参与人员能够进行便捷化的操作,达到安全管理的效果。
软件成分风险管理
雳鉴 SCA 支持对项目中的软件成分进行检测,提供对软件成分的管理,包括软件成分的风险等级、漏洞、版本号、开源许可证等详细信息,并且支持自定义配置开源许可证、策 略组进行检测,同时支持添加自研组件及组件漏洞,覆盖多种使用场景,支持软件成分的分享及报告导出等操作。 管理者可以在雳鉴 SCA 云端管理平台上对软件成分进行可视化管理,把控项目使用软件成分的整体使用情况和相应的安全问题。
第三方组件库管理
雳鉴 SCA 软件成分分析系统支持对第三方库中的软件成分进行检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,提供对软件成分的管理,包括软件成分的风险等级、所属项目、版本号、开源许可证等详细信息,并且可于列表一键重新检测,同时提供软件成分漏洞的详细信息。软件成分图表分析包括软件成分风险分布及其 CVE 风险分布的可视化展示,支持软件成分的分享及报告导出等操作。 管理者可以在雳鉴 SCA 云端管理平台上对第三方组件库进行可视化管理,把控项目使用软件成分的整体使用情况和相应的安全问题。
报告与报表管理
雳鉴 SCA 支持自动对第三方组件安全问题进行分析,可输出项目报告、模块报告、任务报告。项目报告可视化呈现各模块中含漏洞组件排行,风险组件模块排行等,以图形化报表的方式展现项目安全分析结果,便于管理者把控第三方组件安全的整体情况,提供在线查看、Excel、PDF 和 word 格式的检测报告,如图 4 所示(以项目报告为例):
雳鉴 SCA 支持单机部署和分布式集群部署,单独模块均可横向扩展,支持私有云部署和软件部署等多种方式,灵活适应多种客户环境。
单机方案实施部署
单机部署方案适用于企业或组织机构某一部门的业务上线前对组件进行安全检测,解决软件安全开发流程中的研发阶段安全问题,尤其是业务迭代速度较快,和管理重要部门系统的部门。 开发者在开发阶段可将代码上传到雳鉴 SCA 安全管理平台进行安全检测,也可以将代码仓库与雳鉴 SCA 关联,配置定时检测,检测结果可通过云端安全管理平台进行查看和对风险组件进行管理。
集群方案实施部署
集群部署方案适用于集团公司部署,云端管理集群部署在集团总部,尤其是集团化的大型系统,项目众多,并且迭代速度快,对检测系统要求高,管理者需要对各个研发项目组软件安全质量进行把控,雳鉴 SCA 源码仓库监控引擎,软件成分风险检测引擎,云端安全管理平台等细分模块均可横向扩展,满足不同企业需求。