什么是SCA

Software composition analysis(SCA) 是一个针对源码工程或者二进制可执行文件的成分分析,此分析可识别代码库中的开源软件,及其对应的历史漏洞信息。SCA能够取代繁重的人工步骤,在开发阶段及时阻断不安全的组件,从而防止来自供应链的污染。
在现代的DevSecOps环境中,SCA已经激发了“左移”的范式。早期和持续进行的SCA测试使开发人员和安全团队能够在不影响安全和质量的情况下提高生产力。

软件代码安全面临哪些挑战

供应链威胁

供应链污染已日益严峻,成为影响软件开发安全的关键因素之一,AntiySCA可以扫描出恶意开源组件,从而杜绝后门。

历史漏洞威胁

使用老旧的开源组件势必会带来安全风险,AntiySCA能够精准识别这些不安全的开源组件,并且即将支持提供修复建议。

保护机制不完善

良好的保护机制会很大程度上降低风险,AntiySCA能够识别源码工程或二进制的缓和机制,并即将支持给出建议。

SCA的工作原理

我们实现了一套业界先进的码纹识别技术,能够针对源代码工程、二进制可执行文件做精准而高效的识别,并进一步分析供应链上引入的污染及其来源,再结合安天自研的内部漏洞库及各大公开披露漏洞库,可以分析出开源组件的漏洞信息。

产品特性

支持多种架构及文件

同时支持多种源码类型,多种原生二进制格式及架构,多种文件类型的扫描。

精准高效

我们拥有一套精准而高效的扫描算法,能够精准识别出二进制可执行文件中的所使用的开源组件。

报告详尽

我们提供详尽的检测报告。可一览全局三方组件的安全性,并知晓各个组件的具体漏洞及其引用出处。

修复补丁(即将支持)

我们将针对源码工程提供修复方案和补丁。在不破坏工程依赖兼容性的情况下,只需最小更新,保证安全。

使用场景

原生安全
二进制安全
移动安全
物联网安全

文档下载

白皮书下载

有我,放心开源

立即开启对开源组件的掌控
申请试用

关注我们

  • 垂直响应服务平台
    公众号

咨询热线

  • 400 840 9234
  • 在线咨询