产品介绍
开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析(SCA)产品,用于第三方组件的安全分析与管控,包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计等,可实现对源码与制品的精准分析,能很好地融入企业内部的研发流程,是帮助企业实现开源风险治理的理想工具。
需求分析
资产情况不明
企业不清楚组件的使用情况,无法有效梳理及建立内部资产清单。
问题修复不清楚
面对开源组件安全问题,缺少有效的处理方案。
安全风险无法掌控
使用的开源组件风险情况不明,无法精准判断是否存在漏洞及合规问题。
应急分析响应慢
面对组件安全应急事件,无法通过有效途径,快速定位影响范围。
漏洞预警不及时
面对层出不穷的新漏洞威胁,企业无法在最短的时间内得到信息反馈。
缺少管控手段
企业缺少对问题组件的管控手段,无法实现有效管控来保障安全。
产品方案
开源网安SCA软件成分分析平台产品方案示意图
产品效果
精准把控开源组件风险
● SourceCheck可助力企业识别开源 组件中的漏洞风险和合规风险,分析风险的级别,对已知漏洞进行跟踪和定位。
● 对于已存风险,SourceCheck可提供修复建议,避免软件带病上线。
透明化管理
● SourceCheck助力企业进行软件资产信息的收集与管理,实现企业级、部门级、及项目级的软件资产分布可视化。
● 无论是组件依赖关系,还是漏洞传播链条,通过SourceCheck全部清晰可查,减少开发人员与安全人员的风险排查时间成本,加快开发进程。
最小化风险治理成本
SourceCheck可实时监测新漏洞,并快速分析出新漏洞的影响范围,将新漏洞的攻击扼制在初始阶段,最大限度减少突发漏洞带来的损失,帮助企业降低安全风险治理的成本。
最快实现安全组件
● SourceCheck具有数亿级别的组件知识库,可以为企业软件资产中存在的风险提供专业的修复建议和组件替换方案。
● 帮助开发人员在更短的时间内完成组件选型。
零人工介入的自动化集成
● SourceCheck支持自动化检测,自动推送风险问题清单。
● 集成Cl&CD, 自动触发检测,通过在SourceCheck产品中配置相关提单规则及项目范围。
● 结合缺陷或工单类系统,自动生成工单并提交给研发人员。自动化流程极大限度地助力企业提高研发效能。
产品优势
海量数据,专业可靠
◆ 支持Java、Python 、Go、C++等20种以上主流语言
◆ 支持30多种包管理器
◆ 拥有数亿量级知识库
◆ 兼容CNNVD、CNVD、NVD等权威漏洞库
多维检测,全面分析
◆ 支持源码包、二进制包、远程仓库、容器及私服的检测
◆ 支持组件级、文件级、代码片段级等多种检测
◆ 支持组件依赖分析、溯源分析
◆ 支持源码自研率分析
◆ 支持组件漏洞、许可合规分析检测
自主研发,安全可控
◆ 拥有数十项SCA领域发明专利
◆ 入选国家信创产品名录
◆ 通过信通院开源可信工具评估测试
◆ 优先兼容国产操作系统、国产数据库
预警与风险修复
◆ 支持新漏洞预警
◆ 支持组件推荐版本
◆ 支持漏洞修复建议
无缝集成
◆ 支持与主流开发工具IDEA、Ec lipse等插件集成
◆ 支持与Gitlab、Jenkin s、Jira等工具集成
◆ 丰富的Restful API接口
丰富的场景
◆ 私服安全,实现私服扫描及私服防火墙保护
◆ 安全左移,研发阶段早发现、早处理
◆ 持续集成,实现流水线、自动化
◆ 安全管控,黑白名单、阻断机制
◆ 安全审计,漏洞风险、合规风险
扩展阅读