近日,中国通信标准化协会主办的"2025 OSCAR 开源产业大会"在北京·中关村国家自主创新示范区展示中心-会议中心举行。中国信通院正式发布2025年度 OSCAR"开源+"典型案例征集结果,悬镜安全自主研发的源鉴SCA (软件成分分析) 产品凭借其卓越的性能和商业化成果,再获"开源+商业化产品"荣誉认可。源鉴SCA能够精准检测开源组件中的安全漏洞和许可证风险,帮助企业构建更加安全可靠的数字供应链。该产品在金融、通信、智能制造等多个关键行业得到广泛应用,其商业化成果为国内开源安全产品的发展提供了宝贵经验。
开源商业化产品-源鉴SCA
源鉴SCA核心优势:全球独有多模态软件成分分析(SCA)技术+供应链安全风险情报预警服务
源鉴 SCA 创新研发全球独有的六大核心引擎能力,即源码组件成分分析、代码成分溯源、制品二进制解析、容器镜像扫描、运行时成分追踪以及开源供应链安全情报预警,结合悬镜原创专利级AI智能探针技术,精准识别开发过程中引用的第三方开源组件,深度挖掘潜藏安全漏洞与开源协议风险。其多维度组件特征提取与指纹计算机制,实现对开源组件精确识别与风险判定。借助全球实时风险情报监测体系,源鉴SCA 能够动态获取漏洞情报并及时预警,显著降低开源组件引入安全与合规风险,为数字化应用提供全生命周期的安全闭环保障。
检测目标:基于XSBOM全球实时数字供应链风险情报预警,动态检测数字应用及其环境中潜藏的各种开源成分,审查组件存在的各类已知漏洞、未知投毒风险及开源使用合规风险等
6大核心引擎能力简介:
源码组成分析
检测对象:源码文件: 代码库、本地源码工程的特征文件、源代码文件。
检测难度:难度较大,源码文件包含信息完整,结果的可解释性与准确性较高。其中,客户本地环境模拟构建、项目结构相似度检测技术门槛较高。
检测场景:开发测试阶段
核心能力:支持丰富的检测方式:动态模拟构建环境、静态特征文件、Hash精准匹配、项目结构相似度检测、漏洞利用链路可达性验证。
行业价值:规避开发阶段引入漏洞、供应链投毒、开源许可合规等风险。
二进制制品分析
检测对象:二进制制品: 移动应用Android/iOS、IoT固件、嵌入式系统等
检测难度:难度大,对检测算法要求更高,需要持续的特征库维护和优化,并专项扩充移动应用、固件等文件对象的常用组件、SDK、漏洞、恶意软件收集。
检测场景:交付和采购阶段。
核心能力:支持丰富的压缩格式与文件格式解析,支持大量车机系统/SDK/固件常用组件成分风险检测。
行业价值:满足金融、车联网、工业物联网等高安全需求场景。
代码同源分析
检测对象: 源码片段: 代码库、本地源码工程的代码片段、函数级代码特征
检测难度: 难度大,开发引入第三方项目时,代码会经过重构(如变量重命名、逻辑等价替换),源鉴SCA采用代码语义级别的特征提取,弱化表面语法差异,检测精准率行业领先
检测场景: 开发测试阶段
核心能力:支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在AI生成代码侵权风险
行业价值:知识产权合规与供应链透明化
容器镜像成分扫描
检测对象: 容器镜像: Docker镜像、OCI标准镜像
检测难度: 难度大,除了解析镜像配置文件的标准元数据,源鉴SCA通过源码集成源码依赖SCA、二进制SCA,可对企业自研、定制软件进行深度检测
检测场景: 交付和采购阶段
核心能力:支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、 敏感信息扫描
行业价值:保障云原生交付安全
运行时动态追踪
检测对象: 运行时应用:在应用执行过程中,利用运行时插桩检测技术,检测应用真实运行加载的第三方组件成分
检测难度: 难度大,可通过运行时监控技术,检查程序运行时加载第三方组件,支持运行时可达性验证,检测精度高
检测场景: 测试和上线运营阶段
核心能力:支持动态组件发现,通过监控进程加载的文件,识别实际运行的第三方组件版本。
行业价值:组件级存量资产测绘,伴随应用执行,易于集成、监控、修复
SBOM风险情报预警
检测对象: 源码、二进制文件、容器镜像、源码片段、运行时应用等
检测难度: 难度大,通过"多模态SCA引擎"与SBOM全周期管理技术联动开源数字供应链安全情报,实现小时级别的风险实时预警
检测场景: 全供应链阶段
核心能力:支持SBOM全生命周期管理,实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
行业价值:数字供应链情报及时响应,合规与供应链透明化
源码组成分析
检测对象:源码文件: 代码库、本地源码工程的特征文件、源代码文件。
检测难度:难度较大,源码文件包含信息完整,结果的可解释性与准确性较高。其中,客户本地环境模拟构建、项目结构相似度检测技术门槛较高。
检测场景:开发测试阶段
核心能力:支持丰富的检测方式:动态模拟构建环境、静态特征文件、Hash精准匹配、项目结构相似度检测、漏洞利用链路可达性验证。
行业价值:规避开发阶段引入漏洞、供应链投毒、开源许可合规等风险。
二进制制品分析
检测对象:二进制制品: 移动应用Android/iOS、IoT固件、嵌入式系统等
检测难度:难度大,对检测算法要求更高,需要持续的特征库维护和优化,并专项扩充移动应用、固件等文件对象的常用组件、SDK、漏洞、恶意软件收集。
检测场景:交付和采购阶段。
核心能力:支持丰富的压缩格式与文件格式解析,支持大量车机系统/SDK/固件常用组件成分风险检测。
行业价值:满足金融、车联网、工业物联网等高安全需求场景。
代码同源分析
检测对象: 源码片段: 代码库、本地源码工程的代码片段、函数级代码特征
检测难度: 难度大,开发引入第三方项目时,代码会经过重构(如变量重命名、逻辑等价替换),源鉴SCA采用代码语义级别的特征提取,弱化表面语法差异,检测精准率行业领先
检测场景: 开发测试阶段
核心能力:支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在AI生成代码侵权风险
行业价值:知识产权合规与供应链透明化
容器镜像成分扫描
检测对象: 容器镜像: Docker镜像、OCI标准镜像
检测难度: 难度大,除了解析镜像配置文件的标准元数据,源鉴SCA通过源码集成源码依赖SCA、二进制SCA,可对企业自研、定制软件进行深度检测
检测场景: 交付和采购阶段
核心能力:支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、 敏感信息扫描
行业价值:保障云原生交付安全
运行时动态追踪
检测对象: 运行时应用:在应用执行过程中,利用运行时插桩检测技术,检测应用真实运行加载的第三方组件成分
检测难度: 难度大,可通过运行时监控技术,检查程序运行时加载第三方组件,支持运行时可达性验证,检测精度高
检测场景: 测试和上线运营阶段
核心能力:支持动态组件发现,通过监控进程加载的文件,识别实际运行的第三方组件版本。
行业价值:组件级存量资产测绘,伴随应用执行,易于集成、监控、修复
SBOM风险情报预警
检测对象: 源码、二进制文件、容器镜像、源码片段、运行时应用等
检测难度: 难度大,通过"多模态SCA引擎"与SBOM全周期管理技术联动开源数字供应链安全情报,实现小时级别的风险实时预警
检测场景: 全供应链阶段
核心能力:支持SBOM全生命周期管理,实时提供漏洞修复及缓解方案、许可合规解读、供应链投毒等高价值情报
行业价值:数字供应链情报及时响应,合规与供应链透明化
基于深厚的技术实力和产品应用实践,悬镜安全源鉴SCA连续四年被Gartner、Forrester等国际权威咨询机构评为SCA技术代表,并连续四年在市场应用率位列第一,同时也是国内首批通过供应链安全检测工具类-增强级(编号CSPEC-GGJ 2401001)认证,通过中国信通院可信开源治理工具能力检验认证的拳头产品。