悬镜源鉴SCA作为新一代开源数字供应链安全审查与治理平台,深度融合悬镜原创专利级的代码疫苗技术,是国内集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎的多模SCA开源治理平台,可快速扫描数字应用和容器镜像中存在的各类开源风险,并提供实时精准的数字供应链安全情报预警能力,帮助企业管理数字供应链中的开源风险,建立DevSecOps敏捷安全体系和SDL安全开发体系。
2024年3月,悬镜源鉴SCA开源威胁管控平台首家通过网络安全等级保护与安全保卫技术国家工程研究中心与公安部第三研究所网络安全等级保护中心《软件成分分析系统技术规范》检测评估,荣获供应链安全检测证书工具类增强级认证,标志着其在软件成分识别、漏洞风险分析、投毒风险分析、开源许可合规风险分析、供应链连续性分析等核心能力上,全面符合相关标准,处于国内同类产品领先地位。
支持docker、dockerswarm、k8s、k3s、容器云等,提供自动化的容器调度和负载均衡机制,确保容器在集群中的平衡分布,提升系统的高并发能力及高可用性;支持数据分布式持久化存储,提高并行数据的处理能力及响应速度,通过数据冗余和备份提高系统的容错性,确保数据的可靠性和持久性。
以更明确清晰的模块化或节点方式展示项目或应用下完整的组件依赖关系,可根据模块/节点、组件风险等级筛选关联的组件依赖,还支持查看单个组件的上下级依赖关系,使组件依赖关系及风险情况一目了然。
提供将检测结果以邮件方式或webhook协议(企微、钉钉、飞书等)的自定义接入能力,结合质量门禁检测策略,实现相关检测结果及风险的自动化实时推送。
一、核心功能
1.代码成分溯源:能够对应用内所引用的开源代码进行溯源分析,识别出开源项目的名称、仓库地址、引用的许可证、官网链接、项目描述、匹配文件或代码片段及引用路径等信息,帮助企业明确开源代码的来源和使用情况,以便更好地管理开源组件风险。
2.制品成分二进制分析:针对采购的第三方制品,以二进制制品文件的形式进行动态评估,挖掘识别隐藏的新风险,厘清责任归属。该引擎新增了安装包的特征检测功能,进一步加强了编译选项的风险识别,并扩展了对更多文件格式的支持,如固件、apk、镜像、jar包等,可有效提升对二进制成分的深度分析能力。
3.运行时成分动态追踪:在运行时对应用的成分进行动态追踪,实时监控开源组件在运行过程中的状态和行为,及时发现潜在的安全风险,帮助企业实现对开源威胁的全生命周期管理。
4.容器镜像扫描:内置智能容器镜像检测引擎,可识别容器镜像的基础环境、软件组件和依赖关系,发现相关镜像的开源组件漏洞、敏感信息等,还能识别容器镜像内的恶意文件,通过多种方式扫描镜像中的文件,提升容器镜像的安全性,降低系统受到恶意攻击的风险。
二、技术优势
1.多引擎融合:深度融合了悬镜安全首创的代码疫苗技术,集成了多个核心引擎和供应链安全情报预警能力,是国内首个实现多模SCA开源治理的平台,能够更全面、深入地挖掘开源组件中潜藏的各类安全漏洞及开源协议风险。
2.动态模拟构建与静态特征检测结合:采用动态模拟构建的方式,并结合静态解析来检测组件依赖及漏洞,大大提升了组件依赖分析的准确率及组件漏洞匹配的精准度,且无需通过插桩模式检测,使用场景更为简单。
3.自主扩充源码指纹库:支持用户根据需求自行扩充新的商业、自研及开源的源码指纹库,结合平台自身提供的源码指纹知识库,可提高指纹库的覆盖率和准确性,实现更高效、准确的源代码自研率分析。
4.本地源码指纹提取能力优化:客户端仅在本地提取指纹信息,保障用户的源码数据安全,支持提取源代码特征文件和源代码指纹token,并可通过离线方式生成和上传源码指纹包进行检测。
三、不足之处
1.检测准确性方面:
开源组件识别限制:尽管悬镜源鉴SCA能够识别大量常见的开源组件,但对于一些小众、不常见或新出现的开源项目,可能存在识别不准确或无法识别的情况。因为其识别能力依赖于现有的知识库和规则,对于未收录的开源组件则难以有效检测。
漏洞误报与漏报:在漏洞检测方面,虽然它可以与已知漏洞数据库进行匹配,但由于开源组件的版本众多、依赖关系复杂,可能会出现误报或漏报的情况。比如某些被标记为有漏洞的开源组件,在特定的使用场景和配置下实际上并不会产生安全风险,从而导致误报;而对于一些0day漏洞或尚未被收录到漏洞库中的新型漏洞,则可能出现漏报。
2.功能覆盖方面:
对自研代码分析有限:悬镜源鉴SCA主要侧重于对开源组件和第三方库的分析,对于企业自研代码中的潜在安全问题,如代码逻辑错误、自定义加密算法的安全性等,其检测能力相对较弱,无法像专业的代码审查工具那样进行深入的分析和检测。
缺乏业务逻辑层面的风险评估:它通常关注的是技术层面的漏洞和风险,如开源组件的漏洞、许可证合规性等,但对于业务逻辑层面的安全风险,如用户认证与授权机制的合理性、数据访问控制的有效性等,缺乏有效的评估和检测手段,而这些业务逻辑风险同样可能导致严重的安全问题。
3.性能和效率方面:
大规模项目检测速度较慢:在对大规模软件项目进行检测时,尤其是包含大量开源组件和复杂依赖关系的项目,悬镜源鉴SCA可能需要较长的时间来完成检测和分析工作,这可能会影响开发和部署的效率,特别是在敏捷开发和快速迭代的场景下,较长的检测周期可能会成为项目推进的瓶颈。
资源占用较高:由于其检测过程需要对代码和组件进行深入的分析和扫描,可能会占用较多的系统资源,如CPU、内存等。在一些资源有限的环境中,这可能会对其他正在运行的任务或系统性能产生一定的影响。
4.使用成本和门槛方面:
专业知识要求较高:要充分发挥悬镜源鉴SCA的功能,使用者需要具备一定的安全知识和技术背景,例如了解开源许可证的类型和含义、熟悉常见的安全漏洞及其修复方法等。对于缺乏相关专业知识的开发人员和运维人员来说,可能需要花费一定的时间和精力去学习和掌握,才能正确理解和处理检测结果。
与现有工具和流程的集成难度:尽管悬镜源鉴SCA支持与一些常见的开发工具和流程进行集成,但在实际应用中,不同企业可能使用了各种定制化的工具和独特的开发流程,将其与这些复杂多样的环境进行无缝集成可能会遇到一些技术难题和适配问题,需要投入额外的技术力量来解决。
四、应用场景
可无感接入企业原有的DevOps流程,持续自动获取应用组件数据,治理存量和增量组件存在的风险,并将检测结果提交至企业BUG管理体系中,方便开发人员高效处置,实现安全与效率的兼顾。
1.金融领域
开源组件风险管理:金融机构在数字化转型过程中大量使用开源组件,源鉴SCA可帮助其识别开源组件中的漏洞、许可证风险等,如在证券交易系统中,确保开源组件的安全性,防止因开源组件漏洞引发的交易风险。
合规性管理:金融行业对合规性要求严格,源鉴SCA能够分析开源许可证的合规性及兼容性风险,帮助金融机构满足监管要求,避免因许可证问题带来的法律风险。
供应链安全保障:通过对金融软件供应链的全面检测,从源头控制不安全组件入口,保障金融业务系统的稳定运行,防止因第三方组件引发的应用系统攻击、法律风险和知识产权损失等问题。
2.车联网领域
智能汽车软件开发:随着软件定义汽车的发展,汽车软件代码量剧增,源鉴SCA可助力车企识别整车软件安全漏洞及组成成分,避免因开源及第三方软件带来的许可协议风险、法律管制风险、漏洞风险、专利风险等问题,确保车辆的安全性和可靠性。
供应商管理:车联网涉及众多供应商,源鉴SCA可以对供应商提供的软件进行成分分析和风险审查,帮助车企建立完善的供应商风险管理体系,保障软件供应链的安全稳定。
固件安全检测:适配车端产品的不同固件格式,如.hex、.xcd、.out、.mot等,基于二进制制品成分分析引擎,分析可执行二进制的具体特征,提供对应的软件成分、漏洞风险等信息,确保车端固件的安全性。
3.政企领域
电子政务系统安全:政府部门的电子政务系统关系到社会公共服务和信息安全,源鉴SCA可用于检测系统中开源组件的风险,保障政务数据的安全和系统的稳定运行,防止因开源组件漏洞导致的信息泄露等安全事件。
关键信息基础设施保护:对于涉及国家安全和社会稳定的关键信息基础设施,源鉴SCA能够提供深度的安全检测和风险评估,助力相关部门加强对开源软件的管控,确保关键信息基础设施的供应链安全。
数字化转型安全保障:在政企数字化转型过程中,源鉴SCA可以为新开发的应用系统和对原有系统的升级改造提供开源组件风险治理服务,保障数字化转型的顺利进行。
4.能源领域
电力系统安全:电力企业的生产管理系统、调度系统等对安全性要求极高,源鉴SCA可检测其中开源组件的漏洞和风险,防止因开源组件问题引发的电力系统故障,保障电力供应的稳定可靠。
能源互联网建设:在能源互联网的建设中,涉及大量的软件系统和智能设备,源鉴SCA能够对相关软件的开源组件进行分析和管理,确保能源互联网的信息安全和互联互通的安全性。
石油石化行业应用:石油石化企业的勘探、开采、炼化等业务环节也广泛应用信息技术,源鉴SCA可帮助其管理开源组件风险,保障企业生产运营的正常进行。
5.通信领域
通信网络安全:通信运营商的网络设备、业务支撑系统等都依赖大量的软件,源鉴SCA可对这些软件中的开源组件进行检测,及时发现和修复漏洞,保障通信网络的安全稳定运行,防止因开源组件漏洞导致的网络中断等问题。
5G及下一代通信技术应用:在5G、6G等下一代通信技术的研发和应用中,源鉴SCA可以为相关软件的开发和部署提供开源组件安全保障,确保通信技术的创新发展与信息安全并重。
通信软件供应链管理:通信企业需要管理复杂的软件供应链,源鉴SCA能够对供应链中的开源组件进行全程跟踪和风险监测,保障通信软件供应链的安全可靠,提高通信服务的质量和稳定性。
