2025年10月28日,由中国通信标准化协会主办的"2025 OSCAR 开源产业大会"在京举行。会上发布了2025可信软件供应链治理系列 评估结果,北京安普诺信息技术有限公司(悬镜安全)的源鉴SCA产品 通过**"可信开源治理工具(SCA)能力评估"**并获得证书。
一、企业介绍
悬镜安全,全球数字供应链安全开拓者。成立于2014年,由北京大学网安技术研究团队"XMIRROR"发起创立,是国家级专精特新"小巨人"、国家高新技术企业、CMMI5级技术(最高级)认证企业等,获"北京市科技进步奖",CNCERT数据与软件安全评测领域首批支撑单位。基于"AI智能代码疫苗"技术,凭借原创专利级"多模态SCA+DevSecOps+AI供应链风险情报预警"的第四代DevSecOps数字供应链安全管理体系,持续赋能金融、汽车电子、电信运营商、能源、政企、智能制造和泛互联网等行业头部用户,积极构筑适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生防御体系,致力于持续守护全球数字供应链安全。
二、工具介绍
源鉴SCA创新研发多模态软件成分分析(SCA)技术,具备六大核心引擎能力,即源码组件成分分析、代码成分溯源、制品二进制解析、容器镜像扫描、运行时成分追踪以及开源供应链安全情报预警,结合悬镜原创专利级AI智能探针技术,精准识别开发过程中引用的第三方开源组件,深度挖掘潜藏安全漏洞与开源协议风险。其多维度组件特征提取与指纹计算机制,能够对开源组件精确识别与风险判定。借助全球实时风险情报监测体系,源鉴SCA 能够动态获取漏洞情报并及时预警,显著降低开源组件引入安全与合规风险,为数字化应用提供全生命周期的安全闭环保障。
源鉴SCA产品架构图
三、工具的应用场景及功能特点
源鉴SCA开源威胁管控平台(简称:源鉴SCA)是一款多模态SCA产品,拥有源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI模型安全扫描、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析七大核心引擎的多模SCA开源数字供应链安全审查与治理平台。能够深度挖掘数字应用及运行环境中潜藏的各类开源风险,并提供实时全面的风险治理方案以及数字供应链安全情报预警能力,帮助企业从引入源头、开发过程、运行监控、退出管理多维度闭环治理开源威胁。相比于传统的SCA检测平台,源鉴SCA引擎基于运行态的代码级开源软件成分检测,更加侧重于应用系统实际运行过程中动态加载的第三方组件及依赖,在此基础上进行更深度且更加有效的威胁分析。同时,源鉴SCA通过智能化开源供应链安全情报预警分析引擎,在全球范围内获取开源组件信息及其相关漏洞情报、供应链投毒情报、组件运营情报,降低由开源组件带来的安全风险,保障数字化应用的安全。
源鉴SCA不但能帮助安全团队准确并全面地掌握应用中存在的开源风险态势,而且可以助力开发人员精确获知漏洞详细的引入位置,确定补救工作的优先级并集中精力修复高危漏洞,显著减少漏洞修复时间,降低企业开源治理成本,提升企业软件供应链安全管理效率。
可信开源治理工具(SCA)能力评估(以下简称"评估")简介
评估对SCA工具的基本能力,技术支持能力,易用性,部署能力,安全性,兼容性进行评估,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考,评估评估类型包括SaaS版评估、本地部署版评估、SaaS版+本地部署版评估,具体架构图如下。
评估框架图
开源治理工具能力评估: 适用于具有开源组成和安全性分析功能的开源组件扫描工具(SaaS版本,本地部署版本)评估分为基本能力要求,技术支持能力,部署能力、工具安全性能力和多场景覆盖的兼容能力等五大方面,其中对基本能力要求部分进一步提出更细致的能力要求,例如包括考察工具覆盖常用9大编程语言的分析开源组成要求,包括考察工具漏洞库覆盖面在内的分析开源安全性要求等方面。该评估帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。
企业参评价值
获得第三方资质证书,提升市场竞争力
通过中国信通院组织的工具能力评估,获得第三方资质证书,证明企业自身工具已满足标准要求。企业可向客户呈现评估结果,证明工具功能完备性、智能化、产品自身安全、性能满足基本业务要求,助力企业进一步提升工具的市场竞争力。
工具能力对标行业标准,助力用户进行选型参考
标准制定过程中广泛邀请大量业界优秀安全工具厂商专家参与,抽取包括功能项、性能项及安全关键要素,建立工具评价模型。企业可通过评估测试,验证自身工具安全可信,覆盖标准通用能力要求,为用户选择合适的安全工具提供选型指导。