一、产品简介

开源网安开源组件安全及合规管理平台（SourceCheck）是一款精准高效的软件成分分析产品，在软件安全开发生命周期的开发阶段和测试阶段，为企业提供第三方组件安全检测服务，识别安全风险及合规风险，定位风险影响范围，预警新漏洞，助力企业实现漏洞的快速修复和软件资产的全面管理。

二、客户挑战

（一）资产数据不清

企业不清楚第三方组件的使用情况，无法有效梳理并建立内部软件资产清单。

（二）安全风险不明

使用的开源组件风险情况不明，无法精准判断是否存在漏洞风险及合规风险。

（三）影响范围不定

面对组件安全应急事件，无法通过有效途径，快速定位风险波及的范围。

（四）问题修复不易

面对开源组件安全问题，缺少应急分析，无法及时得出高效的修复方案。

（五）管控手段不一

企业缺少对问题组件的管控手段，无法通过有效且一致的策略步调进行安全管控。

（六）漏洞预警过慢

面对层出不穷的新漏洞威胁，企业无法在第一时间得到风险信息的反馈。

三、产品优势

（一）亿量级知识库数据覆盖

• 支持数亿开源组件版本数据

• 支持 CNNVD、CNVD、Github、Google等权威漏洞数据库

• 支持数千种开源许可协议的检出

（二）多级别的软件资产管理

• 支持项目级、部门级、企业级的软件资产分类与管理

• 支持组件、许可、漏洞多维度数据分析

• 支持多级别的资产数据可视化及报告分析

（三）深层次的组件检出及分析能力

• 支持源码包扫描和二进制文件扫描等检测方式

• 支持Java、Python、Php、C/C++、Scala、R、Go等多种常见开发语言的检测

• 支持开源组件安全风险、合规风险的检出及组件依赖关系、组件完整性的分析

（四）灵活的管控策略配置

• 支持告警、阻断等多种策略内容

• 支持设置黑白名单、漏洞风险等多种规则粒度

• 支持自定义规则的生效范围

（五）及时可达的新漏洞实时预警

• 支持0day漏洞的实时预警

• 支持实时查看风险的影响范围

• 支持以站内信、邮件等方式及时收取风险预警信息

（六）DevSecOps无缝集成

• 支持IDEA、Eclipse、PyCharm等多种开发工具的集成

• 支持Gitlab、Jenkins、Jira等多种仓库及缺陷管理工具的集成

• 提供标准API接口，满足企业内部各种集成场景

四、产品功能

（一）第三方组件的检测分析

• 支持多种主流编程语言的开源组件识别和许可检测

• 支持通过本地上传文件或者从仓库获取文件的方式进行开源组件识别和许可检测

• 支持常用依赖包管理器的开源组件依赖检测

• 支持容器镜像包的检测，对容器镜像包内基础环境及应用进行审查，对开源组件漏洞等安全风险进行检测

（二）软件资产管理

• 支持多层级项目应用架构管理方式

• 支持项目数据及应用数据的分享

• 支持多维度的软件资产数据统计及可视化分析

• 支持组件项目溯源，了解组件在不同项目下的分布

（三）软件物料清单

• 支持SPDX、SWID、CycloneDX等国际标准格式的软件物料清单的导出

• 支持项目下的组件清单、漏洞清单及许可清单的单独导出

• 支持定制化项目报告、应用报告的导出

五、产品价值

（一）精准把控开源组件风险

SourceCheck可以助力企业识别开源组件中的漏洞风险和合规风险，分析风险的级别，对已知漏洞进行跟踪和定位。对于已存的风险，SourceCheck会提供修复建议，避免软件带病上线。

（二）透明化管理软件资产链条

SourceCheck助力企业进行软件资产信息的收集与管理，实现企业级、部门级、项目级的软件资产分布可视化。组件依赖关系，漏洞传播链条，全部清晰可查，减少开发人员与安全人员的风险排查时间成本，加速开发进程。

（三）最小化风险治理成本

漏洞未现，防护先行。SourceCheck可以实时监测新漏洞，并快速分析出新漏洞的影响范围，将新漏洞的攻击扼制在开始阶段。最大限度减少突发漏洞带来的损失，帮助企业降低安全风险治理的成本。

（四）最快实现安全组件选型

SourceCheck具有数亿级别的组件知识库，可以为企业软件资产中已存的风险提供专业的修复建议和组件替换方案，帮助开发人员在最短的时间内完成组件选型。

（五）零人工介入的自动化集成

SourceCheck支持自动化检测，自动化推送风险问题清单。集成CI&CD，可自动触发检测，通过在SourceCheck产品中配置相关提单规则及项目范围，结合缺陷或工单类系统，自动生成工单并提交给研发人员。自动化流程极大限度地助力企业提高研发效能。

六、应用场景

（一）软件成分分析

分析组件的漏洞问题和合规问题，把握整体风险，避免软件带病上线。

（二）应急溯源响应

面对突发的组件安全应急时间，及时定位风险范围，实施有效的措施。

（三）组件安全选型

对有重大安全问题，需要进行废弃的组件，及时找到可进行替换的对象。

（四）软件供应链安全

梳理上中下游软件资产，生成国际通用格式的软件物料清单，实现全部软件成分清晰可见，源头可查。

七、规格说明：

（一）专业版：提供专业版软件功能、支持5个组件扫描任务并发执行；

（二）旗舰版：提供旗舰版软件功能（含专业版软件功能）、支持10个组件扫描任务并发执行；