为提高软件产品的安全质量，将安全嵌入软件开发全生命周期，实现安全“左”移理念，开源软件安全分析系统（SCA）基于开源项目元素、文件特征、代码片段等数据为基础，实现了软件成分识别和安全治理于一体的平台。主要面向企业开发项目中开源组件引入的检测需求，能够与源代码管理系统（Git、SVN等）、制品库（Nexus、Artifactory）、缺陷管理系统（如Jira、禅道等）、持续集成工具（如Jenkins）无缝对接，实现了软件成分分析、成分中的已知漏洞分析及评估、许可证分析、漏洞范围影响分析等功能，帮助用户掌握信息系统中的开源软件资产和漏洞情报，快速构建代码安全保障体系，降低由开源软件带来的安全风险，保障交付更安全的软件。

技术创新：

（1）软件成分分析

基于自研的成分分析引擎，系统具备分析开源软件成分的能力，支持包括Java、JavaScript、Python、PHP等14种主流编程语言的检测，并且支持对接代码仓库、文件上传、制品仓库、客户端命令等方式拉取项目分析。通过获取项目引入的开源组件信息，构建出组件之间的依赖关系，包括直接和间接依赖关系。并具备对不同来源、不同阶段项目的开源软件成分进行全面溯源、整合及分析，识别软件中使用的第三方开源组件和企业内部的其它软件，支持通过项目、版本、分析任务等多层级管理分析。

客户端项目分析工具，通过本地化的项目分析形成成分文件。分析过程对外部依赖少，避免了项目内容外泄的可能，具有分析全面，快捷、效率高的优点。

（2）漏洞风险管控

基于开源软件成分分析的结果，风险分析引擎会提取开源组件元素信息对比知识库数据，根据组件的版本、名称以及组件特性值，检出项目中引入的风险组件漏洞情况，形成有效的检测报告，并可对漏洞提供修复方案，对存在风险的组件提供推荐修复版本和建议。

（3）许可风险管控

基于开源软件成分分析结果，提取开源组件元素信息，分析项目中引入的许可信息，并根据多维度，分析许可在项目中呈现的风险等级以及许可之间的冲突兼容问题，有助于用户更好规避可能发生的，因误用高风险许可或存在许可冲突问题，而造成知识产权侵害。

（4）私服仓库管控

SCA支持对主流版本Nexus、Artifactory组件库的检测，识别Java、Javascript等多种语言组件；支持同时检测组件库中的单个或多个分库；支持组件防护墙功能，实时检测即将下载或上传的组件是否违反安全策略，并对违反安全策略的组件下载行为进行实时阻断下载；支持将阻断记录生成日志，用于企业用户对私服仓库的资产管理。

（5）运行时组件漏洞防护

修复组件漏洞风险是安全检测的最终目的，但实际修复过程中往往会遇到组件兼容性、影响现有业务系统等阻碍，为了应对此类难修复、无法修复难题，SCA通过提供特定CVE漏洞防御或修复功能的插件，基于漏洞hook点进行精准防御拦截，在不影响业务系统情况下，实现对特定组件和漏洞精准防护，解决修复中潜在的兼容性问题。同时，运行时防护功能支持记录攻击来源信息、服务信息，实时保障服务安全，其微侵入、高可控、可动态装卸等特点，保障了高扩展能力的同时，面对1day/n day漏洞可以快速接入。

（6）组件选型

开源软件除了漏洞风险，还可能引入潜在的供应商断供、上下游投毒、停止维护等风险，开源软件的安全性与健康度同样影响着组件使用方项目整体安全性。为应对此类风险，SCA将开源软件（组件）以组件用途进行分类（数据库、日志处理、IO、消息等），并提供热门组件的健康度（包括：项目年龄、贡献者数量，问题更新频率、发版频率等）和安全性评分；基于建设项目的功能特征，以开源组件的健康度、许可特性、版本及安全性为依据，以可视化方式提供项目开源组件选型构建能力，并可以包管理器类型生成对应的依赖管理文件。

（7）本地化知识库

开源软件信息数据有效完整、及时采集和更新能力，是支撑开源软件供应链安全治理的根本。SCA搭建了一套自动化的数据平台，包含信息采集、元素分析、数据清洗等数据服务流程。对接国内外多数据源，包括组件信息仓库Maven、Nuget、Composer、Pip等；漏洞数据源CNNVD等。具备超500w+组件信息数据、2800+许可数据和17w+漏洞数据。

数据平台每日根据数据源的特点会进行同步匹配，并且通过算法进行多源的数据验证，保证数据的有效性。同时对接国内外各大开源代码社区（GitHub、Gitee），对于重点项目进行监控，及时获取项目的动态信息，多维度的完善开源项目的评测数据。

（8）工具集成

SCA支持提供多种插件，以在软件各生命周期阶段进行安全检测。针对编码阶段，SCA提供IDEA、Eclipse、VScode等开发工具插件，通过在部署插件实现编码过程中的成分分析与风险检测，并提供一键修复风险组件能力；SCA针对MacOS、Windows、Linux提供客户端检测能力，通过客户端实现开源软件成分分析；针对组件仓库，SCA提供Nexus2.x/3.x、Artifactory6.x/7.x插件，通过在组件仓库部署插件，实现下发合规策略，对违规的组件的上传和下载行为进行阻断，保障组件仓库内资产透明与安全；针对CI/CD流水线，SCA提供Jenkins插件，实现下发流水线策略，对违规项目阻断发布，保证项目上线即合规。

（9）风险预警

基于数据情报中心对漏洞数据源的实时监控的能力，明道SCA开设了漏洞预警功能，实时获取最新的漏洞情报数据，并通过特点匹配，筛选出对项目存在影响的漏洞进行及时的漏洞预警。帮助用户清晰掌握最新的项目风险情况，对漏洞做出应急处理措施。

（10）漏洞可达性验证

常见SCA产品在扫描应用后，会上报大量组件及漏洞风险信息，由于缺少对漏洞触发函数片段和风险通路的验证，存在较高误报率，这使得安全人员仍需手工处理和验证风险信息，难以评定漏洞修复优先级，造成人员、时间和资源的浪费，严重影响项目维护效率。基于此场景，SCA创新性融入漏洞可达性验证技术，通过调用链路、代码行级以及函数级，风险函数特征识别的检测方式识别漏洞是否存在真实调用通路，从而判断漏洞在本项目中的可达性，帮助安全人员快速制定漏洞修复优先级。

应用场景：

(1)项目设计初期——组件选型工具帮助规避组件风险

在软件开发初期发现并解决安全隐患能够大大减少企业修复成本，并降低后期运维成本。明道SCA在软件设计架构初期，提供组件选型工具，以开源组件的健康度、许可特性、版本及安全性为依据，以可视化方式提供项目开源组件选型构建能力，并能够通过组件清单导出，在软件开发初期便可掌握软件详尽的组件使用情况及风险情况。

(2)项目研发阶段——开源软件成分分析识别项目风险

在软件研发阶段，明道SCA支持对项目进行定期安全扫描，及时发现存在漏洞的开源组件。并支持与禅道、Jira等缺陷管理平台对接、与开发工具集成、支持将管控策略配置在CI/CD流水线环境中，能够极大地满足安全人员对软件开发全流程的风险管控需求。同时支持对项目生成分析报告、定期发送周报，实时掌握项目的最新风险情况。

(3)项目运维阶段——风险预警持续监控项目风险走向

在项目运维阶段，明道SCA具备持续跟踪项目风险情况的能力，并能实时监控组件的风险情况变化，对影响系统中项目的漏洞情报及时对负责人、项目成员预警，帮助用户及时获取有价值的漏洞情报信息。

拟解决的问题：

(1)资产可视化展示

对于程序安全，其核心原则就是要了解项目所构建或使用的代码中包含的内容。而软件开发过程中往往会引入大量未知、未经检测的开源组件，明道SCA能够扫描并分析项目包含的软件成分，并将分析结果通过图表等形式可视化展示、将开源软件之间的关联以可视化清单形式输出。

(2)项目风险自测

有效的开源管理始于对开源软件成分的识别。明道SCA能够帮助企业扫描项目中使用的开源组件、组件携带的漏洞、许可，以及开源组件的引用位置，并能分析项目风险等级，对风险组件给予推荐修复版本，对漏洞提出推荐建议修复优先级。帮助用户全面了解项目中组件的使用情况、存在的安全风险问题。

(3)降低修复成本

研究表明，软件发布后进行代码修复，其修复成本相当于在设计阶段修复的30-50倍，在软件开发初期发现并解决安全问题，是减少企业修复成本、降低后期运维成本的关键。明道SCA能够完美融入软件开发全生命周期，从软件设计架构阶段至后期的运营发布，全程监控软件安全问题，及时对潜在的漏洞风险做出预警，实现安全“左”移，有效降低安全漏洞修复成本，减少漏洞产出。