平台应该具备源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI 模型安全扫描、容器镜像成分扫描五大核心能力。
| 技术类别 | 源码组成分析 | 二进制制品分析 | 代码同源分析 | 容器镜像成分扫描 | AI供应链安全智能扫描 |
|------|-------------------------------------------------------------|-------------------------------------------------------------|-------------------------------------------------------------------------|---------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------|---|---|
| 检测目标 | 基于 XSBOM 全球实时数字供应链风险情报预警,动态检测数字应用及其环境中潜藏的各种开源成分,审查组件存在的各类已知漏洞、未知投毒风险及开源使用合规风险等 |||||||
| 检测对象 | 源码文件: 代码库、本地源码工程的特征文件、源代码文件 | 二进制制品: 移动应用 Android/iOS/HAP(鸿蒙)、IoT 固件、嵌入式系统等 | 源码片段: 代码库、本地源码工程的代码片段、函数级代码特征 | 容器镜像: Docker 镜像、OCI 标准镜像 | AI 模型文件、相关源代码、数据集。 |
| 检测难度 | 难度较大,源码文件包含信息完整,结果的可解释性与准确性较高。其中,客户本地环境模拟构建、项目结构相似度检测技术门槛较高 | 难度较大,源码文件包含信息完整,结果的可解释性与准确性较高。其中,客户本地环境模拟构建、项目结构相似度检测技术门槛较高 | 难度大,开发引入第三方项目时,代码会经过重构(如变量重命名、逻辑等价替换), 采用代码语义级别的特征提取,弱化表面语法差异,检测精准率行业领先 | 难度大,除了解析镜像配置文件的标准元数据,通过源码集成源码依赖 SCA、二进制 SCA,可对企业自研、定制软件进行深度检测 | 难度大,需通过多维度特征加权计算以发现"影子"模型;需自动化追溯微调、量化、合并等复杂的模型演化血缘关系;需结合静态分析与情报库深度扫描模型文件中的隐藏恶意代码与反序列化漏洞。 |
| 检测场景 | 开发测试阶段 | 交付和采购阶段 | 开发测试阶段 | 交付和采购阶段 | AI 项目安全审计与资产盘点;第三方模型安全准入检测及内部模型库定期巡检;模型训练前的数据集安全审查 |
| 核心能力 | 支持丰富的检测方式:动态模拟构建环境、静态特征文件、Hash 精准匹配、项目结构相似度检测、漏洞利用链路可达性验证 | 支持丰富的压缩格式与文件格式解析,支持大量车机系统/SDK/固件常用组件成分风险检测 | 支持代码指纹库实时同步各种开源代码托管平台、支持分析用户代码工程与开源项目的代码片段相似度以及是否存在 AI 生成代码侵权风险 | 支持镜像分层依赖图谱构建、恶意组件、恶意软件检测、后门/逃逸风险检测、敏感信息扫描 | 支持 AI 模型相似度检测与代码调用分析;构建 AI 模型血缘图谱,可视化追溯衍生链条;数据集深度扫描,覆盖敏感信息与合规风险;深度风险文件扫描,精准发现恶意组件;提供代码级修复建议的风险配置分析;支持标准化的 AI-BOM 生成与导出。 |
| 行业价值 | 规避开发阶段引入漏洞、供应链投毒、开源许可合规等风险 | 满足金融、车联网、工业物联网等高安全需求场景 | 知识产权合规与供应链透明化 | 保障云原生交付安全 | AI 供应链安全与合规风险治理 |