软安SCA软件成分分析工具,是一款开源软件治理工具,通过多种检测技术,利用自主可控的分析引擎和国际先进的基因库,提供软件资产识别(SBOM)、安全风险分析、开源合规检测、漏洞告警及安全管理等功能,帮助企业不断降低由软件供应链上不可控的三方软件带来的安全、合规和运维风险,助力企业构建软件供应链安全保障体系。
产品特点
支持多种主流语言和包管理器检测
- 支持Java、Node js、JavaScript、Python、C、C++、C#、Objective C、Go、Php、Fortran、Perl、Erlang、Ruby、Scala、Swift、R、Groovy、Rust等多种语言的检测
- 支持Maven、Gradle、Lerna、Npm、Yarn、PIP、Conda、nuget、Conan、go_dep、go_gradle、go_mod、go_vendor、go_vndr、Pear、Packagist、composer、Cargo、cocoapods、Cpan、Hex、Rubygems、Sbt、Swift、Cran等多类包管理器
支持文件目录和代码片段检测
支持代码片段检测和文件目录扫描,并且支持引用路径反查,可查看组件的详细引用路径。
支持无构建检测和构建检测方式
工具支持构建检测,可识别捕获编译过程中引入的组件,同时支持无构建直接上传代码包的方式检测,可覆盖多种治理处置场景。
丰富的数据库关联
支持1100万+开源软件数据、60万+开源漏洞数据和2600+许可证数据。兼容多个漏洞数据源,全面获取开源软件漏洞信息,及时为企业提供开源软件漏洞情报,漏洞数据源包括:NVD(CVE)、CNNVD、CNVD以及开源社区等。
支持精准的软件物料清单SBOM检测
支持精准的软件物料清单(SBOM)识别,支持识别开源组件名称、版本、许可证、安全漏洞,包括漏洞基本信息及详细信息。
支持识别开源组件漏洞风险
支持识别开源组件漏洞风险,包括漏洞基本信息(名称、编号、漏洞CVSS评分、风险等级、关联漏洞等)及详细信息(漏洞利用难度、漏洞是否具备POC、EXP、是否为RCE漏洞、参考链接等)。
支持漏洞可达性检测和漏洞修复优先级分析
通过被测代码的构建/编译过程分析已知漏洞的可达性,展示漏洞可达的调用链,可分析能够触发已知漏洞的文件或函数是否存在。可根据漏洞被利用成本、修复难度、影响范围等维度提供优先级分析。
支持组件和漏洞管理
支持对组件和漏洞进行标记,可进行编辑、忽略、添加黑白名单等操作,并且标记的结果可进行继承或者复用在其他项目中,可以大大降低治理成本。
支持开源许可证的检测
支持根据组件使用方式及项目场景综合判断许可合规风险,包含许可信息、版权信息、许可证冲突性、许可证兼容性、开源许可证条款外的特殊说明,并提供许可证案例、许可使用建议、通用性许可证修复建议、许可说明及应对建议(针对组件的不同使用场景,其许可证变化的特殊说明)。
此外,还可支持许可深度检测,许可/版权篡改检测,识别代码片段中基于开源代码溯源的许可版权变动。
支持敏感信息分析和加密算法识别
工具支持硬编码-密码、URL、银行卡、身份证、邮箱、IP地址(IP v6、IP v4)、私钥等敏感信息分析;支持识别开源组件中的加密算法(含相关国际标准认证信息),并展示具体的加密算法名、已知弱点、密钥长度、发起者、标准认证/采用情况。
支持自研率分析
支持自研率的分析统计,包括文件容量、文件数量、代码行自研率统计,文件自研率可展示对应文件的自研率数据。以及分类文件个数,分类文件总代码数。
支持多种报告格式
- 支持生成CSV、PDF、HTML、SPDX、Cyclone DX、SWID等报告格式
- 可根据用户需求进行组件、漏洞、许可证报告生成
- 支持导出Notice说明(MD格式),提供该项目中使用的开源组件的详细许可通知和声明
丰富的API接口,支持多种平台集成
- 提供全功能的Restful API支持,用户可以按需调用,可以方便地通过自定义程序调用API,串联整个DevSecOps流程
- 支持与主流代码仓库、制品库、CI/CD流水线、多种开发环境、缺陷管理工具、通知工具等集成,实现更高效的开发流程和治理流程
