悬镜源鉴SCA是国内首款集代码成分溯源引擎、制品成分二进制分析引擎及运行时成分动态追踪引擎的多核心引擎驱动的开源威胁管控平台，也是成熟的开源软件成分分析信息化应用创新产品，技术完全自主研发、安全可控，满足国内行业监管法规要求。

源鉴SCA率先支持中国首个数字供应链SBOM格式DSDX，基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测、容器镜像检测及运行时检测等核心能力，结合悬镜独有的代码疫苗单探针技术，精准识别软件开发人员在应用开发过程中引入的第三方开源组件，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

源鉴SCA是国内首款基于多引擎的开源威胁管控平台，同时拥有自研专利级代码成分溯源引擎、制品成分二进制分析引擎及运行时成分动态追踪引擎，多次获得Gartner、Forrester等国内外机构的权威认可：

1、具备代码成分溯源引擎能力：基于同源检测技术，主要用于代码溯源分析、代码已知漏洞分析、恶意代码文件等，可以准确地分析出引用的开源软件及其关联信息；

2、具备制品成分二进制分析引擎能力：可对二进制构建产物进行自动化软件成分分析，聚焦于已知漏洞扫描、开源软件审计和敏感信息检测；

3、具备运行时成分动态追踪引擎能力：是SCA技术与悬镜代码疫苗专利技术的深度联动，依赖探针插桩，对应用系统实际运行过程中涉及的第三方开源组件及依赖进行审查和监控，在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险，并进行软件成分分析、构建SBOM软件物料清单，对线上应用资产进行梳理，有效提升软件组成成分的透明性。

1、软件供应链安全审查：

源鉴 SCA 可灵活且无感知地嵌入至软件供应链的引入、生产及应用三大环节，通过在供应链各链路场景中使用源鉴SCA检测相关资产，帮助企业、团队或个人更全面地了解软件供应链以及其中可能存在的安全性、合规性和质量风险，并快速识别和修复潜在的安全漏洞，进而提高软件供应链的安全性。

2、软件采购合规性审查

采购部门在做软件采购时，为确保采购软件内部成分的组件引入安全及合规性，可通过源鉴SCA对采购产品的安装包或源代码进行软件成分安全检测，结合企业内部的采购规范及要求，确保采购的软件自身不存在相应的安全及合规风险。

3、第三方组件安全管控

通过借助源鉴SCA定期对第三方组件在引入前、上线前进行相应的安全风险检测工作，保障软件的安全。为全面把控第三方组件的风险情况，降低第三方组件引入带来的安全风险，提高系统整体安全性，企业可通过使用源鉴SCA为内部的组件使用建立相应的第三方组件安全管控基线，进行第三方组件的漏洞检测与修复，并生成相应的安全检测报告，及时根据报告内的组件升级方案或漏洞修复指导方案解决相关风险。

4、开源软件授权许可分析

应用软件开发过程中，企业或团队不仅要关注开源组件的漏洞，同时也要关注开源组件在引入时其声明的许可证是否有相应的合规性或兼容性等风险。
通过使用源鉴SCA对不同软件的授权许可进行分析，梳理开源协议及其引用规范，进而规避潜在的法律风险。

5、 供应链资产可视化管理

通过使用源鉴SCA为每个应用程序持续构建详细的软件物料清单(SBOM),从而更好地管理每个应用软件的风险情况，当有新的开源组件风险时，可以快速排查应用程序内是否引入了相应的风险组件，分析风险组件的影响范围并及时地进行修复。