元健SCA開源威脅管控平台作為新一代開源數字鏈安全審查治理平台,深度融合了掛鏡首創的一流疫苗技術,是國內首個集成分溯源、產品成分二進位分析、執行時成分動態跟蹤三大核心引擎於一體的多模式SCA開源治理平台, 以及鏈的安全情報和預警能力。
架構公升級
支援高可用性、完全容器化部署
如果說引擎是產品檢測的命脈,那麼底層架構就是產品可用性的命脈。
資料來源: sca 4版本 4 在底層架構層面進行了改進和公升級:支援 Docker、Docker Swarm、K8S、K3S、Container Cloud,並提供自動容器排程和負載均衡機制,保證容器在集群中的均衡分布,大大提公升了系統的高併發性和高可用性。 支援資料分布式持久化儲存,提高並行資料的處理能力和響應速度,通過資料冗餘和備份提高系統的容錯能力,保證資料的可靠性和永續性。
在數位化鏈安全審查過程中可以實現兩者的結合實時檢測流暢不間斷,大規模併發不卡頓,故障轉移不易察覺,無論是雲環境還是複雜元件資產的場景,都可以輕鬆應對。
賦能資訊和創新生態系統
提供一鍵式數字**鏈安全審查
元建SCA賦能資訊創新監管合規,始終堅持自主研發技術引擎賦能開源數字**鏈風險治理,4第4版支援與國內主流資訊化創新環境的良好相容性和適配性,包括x86 64 aarch64 CPU架構等基礎執行環境,OpenEuler、OpenAnolis、麒麟等作業系統,以及TIDB和TDSQL等資料庫,助力國內資訊創新生態鏈建設,建立自主、 可控、安全、可信的模型基準。
同時,源 sca 提供一鍵式數字鏈安全審查服務,覆蓋數字應用的軟體源**、源**指紋、軟體安裝包和產品包,加強對資訊源和創新應用的元件和來源的安全管理,確保資訊化和創新應用快速滿足相關監管要求。
動態模擬構建+ 靜態特徵檢測
實現原始碼級元件依賴關係解析
與傳統的靜態SCA檢測相比,源SCA 44、在檢測能力方面,採用動態模擬構造方法,模擬元件的編譯和構造過程,結合靜態分析方法檢測元件依賴性和漏洞,大大提高了元件依賴分析的準確性和元件漏洞匹配的準確性。 此外,與執行時 SCA 相比,這種解析方法不需要通過檢測模式進行檢測,這在用例中更簡單。
二進位引擎公升級
產品成分深度分析
在數字鏈的交付和採購階段,對於購買的第三方產品,無需提供來源,以二進位產品檔案的形式動態評估數位化應用業務中涉及的開源鏈的風險,挖掘和識別隱藏的新風險, 明確責任,高效及時發現問題,實時推送維修建議。
SCA產品的二進位分析引擎在結合豐富的知識庫樣本和基於多維特徵的相似性檢測演算法的技術優勢的基礎上,增加了安裝包的特徵檢測功能,進一步加強了編譯選項的風險識別,在韌體等主流格式的基礎上,擴充套件了對更多檔案格式的支援, APK、映象、JAR包,顯著提公升了二進位元件的深度分析能力。
惡意檔案檢測
智慧型識別容器映象風險
源SCA內建智慧型容器映象檢測引擎,支援與Docker Registry、Harbor、GitHub、Jfrog Artifactory、Sonatype Nexus、華為雲、阿里雲等映象倉庫對接,可以識別容器映象的基礎環境、軟體元件和依賴,發現相關映象開源元件的漏洞和敏感資訊。 它還提供了識別容器映象中惡意檔案的能力,並通過檔案雜湊比對、檔名或檔案型別檢查、檔案依賴分析等方式掃瞄容器映象中的檔案,從而在容器部署前及時發現潛在的惡意檔案,提高容器映象的安全性,降低對系統進行惡意攻擊的風險, 並確保容器映象的安全性。
輕輕地嵌入到 CI CD 管道中
實時監控過程風險
SCA 產品的使用並不意味著它在開發和構建-持續交付-持續整合階段停滯不前和受阻,Sourcesca 4版本 4 可以外掛程式或流水線的形式無縫嵌入到企業原有的 CI CD 流水線中,實時監控流程風險,對不符合基線要求的構建進行及時告警或阻止,從而快速識別和修復風險漏洞,同時兼顧效率和安全性。
元件配置靈活
安全基線和檢測策略
資料來源: sca 44、為元件安全管控基線及相關黑名單、白名單檢測策略提供更靈活的配置選項,實時精準推送風險結果告警和指導方案,方便使用者根據報表中的元件公升級方案或漏洞修復指導方案,隨時防範和處置相關風險。
四大能力優化
1.獨立擴充套件原始碼指紋資料庫
資料來源: sca 4第4版支援原始碼指紋資料庫的自主擴容,使用者可以根據自己的需求擴充套件新的商用、自研和開源的指紋資料庫,結合原始碼SCA本身提供的原始碼指紋知識庫,提高指紋庫的覆蓋率和準確性,幫助原始碼識別和分析, 實現更高效、更準確的源自研率分析。
2. 優化本地原始碼指紋提取能力
資料來源: sca 4版本4優化公升級了本地生成原始碼指紋的功能,客戶端只在本地提取指紋資訊,保證使用者原始碼資料的安全性:支援提取原始碼特徵檔案和原始碼指紋令牌; 無需連線SCA平台,可離線提取原始碼指紋包,本地生成原始碼指紋包後,可離線上傳原始碼指紋包進行檢測。
3. 元件依賴圖優化
資料來源: sca 4在原有以動態圖形式展示元件依賴關係的基礎上,版本4根據專案或應用中元件的實際引入,以模組化或節點的形式更清晰清晰地展示專案或應用下模組節點之間完整的元件依賴關係,並能根據模組節點和元件風險等級對關聯的元件依賴關係進行過濾, 並支援檢視單個元件的上下依賴關係,元件依賴關係和風險一目了然。
4、檢測結果風險報警
資料來源: sca 4版本 4 提供了通過電子郵件或 webhook 協議(奇微、釘釘、飛書等)自定義檢測結果訪問的能力,結合質量訪問控制檢測策略,實現相關檢測結果和風險的自動實時推送。
SCA技術已經成為數字鏈開源治理的關鍵入口。 作為第三代DevSecOps數字鏈威脅管理系統開源治理環節中的新一代開源數字鏈安全審查治理平台,元建SCA還擁有自主研發的專利級成分溯源引擎、產品成分二進位分析引擎、執行時成分動態跟蹤引擎、容器映象掃瞄引擎,可深度挖掘各種安全漏洞和開源協議風險隱藏在開源元件中,幫助企業從引入源頭、開發過程、運營監控、多維度閉環治理開源威脅,持續守護中國數字鏈的安全。