开源网安开源组件SourceCheck安全及合规管理平台_第三方组件成分分析工具

开源网安开源组件SourceCheck安全及合规管理平台

开源网安开源组件安全及合规管理平台（简称SourceCheck），是开源网安提供的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理，组件使用合规性审计，新漏洞感知预警，开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

立即咨询

首页 > 产品中心 > 数据计算与分析 > 开源网安开源组件SourceCheck安全及合规管理平台

开源组件安全及合规管理平台 icon

开源组件安全及合规管理平台（简称SourceCheck），是开源网安提供的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理，组件使用合规性审计，新漏洞感知预警，开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top 10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

SourceCheck的能力图 icon

SourceCheck 业务场景 icon

监管政策响应 NO.5
国家项目里对自主知识产权的要求，开源成分不能超过30%，金融、央企等加强风险防控等，相关领域软件知识产权纠纷司法鉴定等。

软件资产管控 NO.3
规范开源软件的引入流程，明确安全评估责任机制，建立安全的企业内部开源库。

NO.1 代码合规性审计
开源软件引入时，对其许可证传染性、兼容性、其他违规风险进行合规性审计，是否违规侵权，商业闭源的注意事项等。

NO.2 安全漏洞修复
开源软件的漏洞检测、识别记录、漏洞修复及风险管理，包括后续新漏洞的感知预警，明确对自身业务影响。

NO.4 合作责任明确
企业合作，需要出示安全检测报告，证明软件没有合规性和安全性问题，形成问责追踪机制。企业兼并对第三方代码评估审计等。

SourceCheck 产品功能 icon

软件资产分布可视化

提供不同职级部门的资产分布视图，多维度展示，企业-部门-项目各使用者，可快速了解掌握相关软件资产信息，辅助决策。

新漏洞自检与预警

与SecZone威胁情报平台对接，新漏洞发布时，即可对企业内部资产进行自检，对相关部门和人员发布漏洞预警，协助相关人员启动应急响应机制。

许可证、知识产权检测

提供开源组件所使用的许可信息，可检测到代码中第三方开源组件库的源代码是否存在，避免企业陷入知识产权的纠纷。

软件资产跟踪定位

通过使用第三方组件、自研组件信息，查找定位相关组件在企业内部的分布情况，快速清理或者升级问题组件。

自研组件管理、识别、定位

针对企业自研组件，可能使用了第三方组件，存在潜在的安全威胁。平台可识别与跟踪这些未知组件，并对相关组件进行安全分析，收集组件安全威胁信息。

企业组件规范管控

平台提供数据，用以评估组件，判断是否达到企业的安全级别标准，对于不符合标准的组件，可以通过规则设置限制使用。

已知漏洞查找定位

可以通过CVE，CNNVD等漏洞编号，实现对企业内部资产的安全自查。

组件、漏洞态势感知

SecZone数据中心持续收集最新行业安全信息数据，识别最新安全风险，平台与之对接，提供行业数据的态势感知能力。

开放式API接口

平台提供各种开放式API，以满足企业内部已有工具的集成需求，赋予更多实用性。

SourceCheck 部署使用 icon

SourceCheck 检测原理-软件成分 icon

软件成分检测技术原理：SourceCheck是通过对目标检测对象的配置文件及应用包中存在的二进制引入包进行扫描，获取其相关直接及间接引入的组件信息，通过与知识库内容的匹配标识，获取相关的组件完整信息。可实现对已修改组件、组件间依赖关系识别、自研组件设定等组件行为。

SourceCheck 检测原理-源码匹配 icon

源码检测技术原理：SourceCheck是通过收录开源源代码，并将相关代码进行索引处理，让源文件和目标文件合并后，既能检测自身代码是否有冗余重复代码，又能检测源代码和目标代码之间的代码重复情况。我们不仅支持文件与文件之间的比较，而且拥有完善的未经授权的开源代码库，可以将应用代码和开源代码库的信息进行比较，覆盖率更高，精确度更高。

组件特征指纹识别

独有的组件特征指纹技术，实现从组件到组件内文件级的细致检测，精准识别每一个组件，和组件内的改动。

后台大数据分析

专业的团队和数据收集分析平台，长期收集和处理业界最新组件和漏洞数据，并实时更新至SourceCheck平台，确保企业内数据的完善性和实时性。

SourceCheck 功能价值 icon

软件资产分析
企业、项目级的资产分布视图展示，组件、许可、漏洞清单多维度展示，辅助决策精准、合理的修复方案

开源组件库高覆盖
支持 CVE 通用漏洞披露库，支持 CNNVD 国家信息安全漏洞库，支持自研组件库管理维护，提供开源网安自有漏洞库

许可合规检测
支持组件知识产权检测，规避风险，专业的许可分析，支持授权、检查、审计场景

漏洞预警
实时发现最新漏洞，持续更新记录，提供新漏洞风险预警机制，快速感知

组件管控阻断
组件授权管控机制，完善合理，管控策略灵活，使用简单

无缝集成
IDE：Eclipse、IntelliJ IDEA、PyCharm等，DevOps：GitLab、Jenkins、Jira 、SVN等，标准API，满足企业内部各种集成场景，私服防火墙，构建私服安全保障

海量数据，专业可靠

多维检测，全面分析

SourceCheck可通过多种类型文件进行分析检测，同时可以从组件级、文件级、代码级维度进行综合分析，获取当前软件的漏洞、许可、以及自研情况

自主研发，安全可控

在企业更加注重知识产权时代，掌握核心技术才能立于不败之地，开源网安SourceCheck从技术出发，在设计之初就非常关注专利技术研究及资质荣誉申报，目前获取多项认证及专利授权

兼容丰富的场景

丰富的集成能力

优质服务

SourceCheck顾问团队
SourceCheck顾问团队长期关注于开源软件的发展形势和新的威胁跟踪，可提供相应的开源组件审计服务。

修复方案支持
我们关注企业对开源软件使用过程中存在的问题进行深入研究并提供最优的解决方案。

新漏洞发布预警
我们长期关注业界开源软件的新漏洞发布和对一些热门组件进行安全扫描测试，并对新漏洞发布预警通知。

SCA与其他安全工具相比有什么突出特点？ icon

与目前国内的IAST、SAST等安全工具对比来看，SCA技术具有以下优点：

成功案例 | 金融行业 | 微众银行 icon

解决方案

通过引入SourceCheck，解决手工处理开源组件风险效率低问题，同时实现SourceCheck与行内成熟Pace|CI等成熟的自动化体系，实现自动化检测及处理开源组件风险。通过SourceCheck构建内部资产可视化和溯源能力，从漏洞、组件、仓库、子系统建立全局的图谱信息，实现开源组件风险应急响应。

客户价值

SourceCheck产品实现2万仓库的批量检测及20个并发检测能力，高效稳定。行内Pace|CI等DevOps平台集成，同时集成ITSM工单系统实现自动化。

成功案例 | 金融行业 | 新网银行 icon

解决方案

通过引入SourceCheck，解决手工处理开源组件风险效率低问题，同时实现SourceCheck与行内SSO、Redmine缺陷工单平台等实现自动化集成，自动化检测及处理开源组件风险。通过SourceCheck构建内部资产可视化和溯源能力，从漏洞、组件、仓库、子系统建立全局的图谱信息，实现开源组件风险应急响应。

客户价值

安全合规部通过SourceCheck产品实现了跨部门的开源组件问题的自动化方案，通过自动化检测，自动化推送问题工单及修复建议，实现了安全与效率的双赢。

成功案例 | 金融行业 | 常熟农商银行 icon