产品介绍：

源鉴OSS开源威胁管控平台（以下简称“源鉴OSS”）作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全管理平台，基于多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，结合悬镜独有的应用探针技术，如同对代码进行核酸检测，精准识别应用开发过程中引用的第三方开源组件，并通过应用组成分析引擎，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

同时，源鉴OSS通过AI数据收集引擎在全球范围内获取开源组件信息及其相关漏洞信息，及时获取开源组件漏洞情报，降低由开源组件带来的安全风险，保障数字化应用的安全，从而帮助安全团队准确并全面地掌握应用中存在的开源风险态势，助力开发人员精确获知漏洞详细的引入位置，确定补救工作的优先级并相应地集中精力修复高危漏洞，显著减少漏洞修复时间，提高开发人员的总体生产力。

作为全球首款开源的企业级SCA技术产品，OpenSCA继承了源鉴OSS领先的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，现已支持Java、JavaScript、PHP、Python、Go等多种主流编程语言和生成SPDX格式的软件物料清单（SBOM），且在陆续推出和迭代更多功能。

技术突破：

1.基于运行时的SCA检测

通过插桩的方式，将应用检测探针插桩至应用程序内部，基于运行时的数据流、控制流等综合分析应用系统实际运行过程中动态加载的第三方组件及依赖，在此基础上实时检测组件中潜藏的各类安全漏洞及开源协议风险，并进一步确认漏洞的真实有效性，帮助用户梳理真正影响业务应用的风险信息。

2.AI智能分析引擎

利用智能分析引擎，检测应用内组件的漏洞及开源许可，通过第三方数据库与开源组件的特征及关联关系来提升检测结果的准确性，帮助用户快速并准确梳理风险组件资产。

3.基于自然语言处理的漏洞信息收集

基于自然语言处理NLP技术，搜集开源组件的漏洞数据，以确保用户的应用软件免于新的漏洞威胁。

4.漏洞修复优先级技术

基于源鉴漏洞修复优先级算法，根据漏洞的基础属性，从时间维度、环境维度等角度综合分析，将检出的组件漏洞进行优先级排序，帮助用户优先解决影响较高的漏洞，实现漏洞发现到修复的闭环管理。

5.同源检测

源鉴OSS融合了代码片段同源检测技术对代码中可能引入的代码片段风险进行相应评估。依靠悬镜启发式爬虫技术，基于数千万的开源项目级指纹信息，实现用户自研项目代码自研率以及相似度检测的功能，检测粒度可精确到3行代码匹配，准确的识别出源码文件与哪些开源文件存在相似及相似度百分比，并标记出存在相似的代码行范围，准确计算代码自研率及检测代码的相似度，为用户提升企业内代码自研率提供帮助。

6.二进制检测

源鉴OSS二进制检测拥有丰富的二进制分析经验和漏洞挖掘能力。使用数据流、控制流、污点分析等技术，从常见攻击面出发，提炼漏洞的二进制特征，提高版本匹配、漏洞匹配的准确性。无需源码，上传二进制文件，即可进行软件成分分析，生成完整安全报告，帮助用户快速获取软件风险。

7.强大的漏洞库

源鉴OSS集成了漏洞库、组件库、许可证库，并进行小时级别的实施更新和人工运营，既保证了数据的全面覆盖，也保证了风险信息的时效性。在检测过程中，引擎可在线调用云平台丰富的库资源进行比对，降低了系统漏报率，并对漏洞修复方案进行持续完善更新，帮助用户对风险进行有效闭环。

应用案例：

悬镜安全源鉴OSS持续帮助金融、车联网、泛互联网、能源等行业用户提供开源治理解决方案。企业大量引入开源组件为其开发赋能，并享受其带来的功能丰富、迭代快速等好处。但同时，开源软件的安全性、可靠性、可维护性以及许可证合规性等也给金融企业的科技建设带来新的挑战。

悬镜安全根据各行业内软件开发现状，制定合理的开源治理方案，帮助用户通过引入源鉴OSS与现有的安全检测工具相结合，使之柔和嵌入自身开发流程，从而满足企业业务发展的安全合规要求，并同时基于企业现有开发体系引入DevSecOps流程建设，有效防范、控制和解决相关开源组件风险，以保障企业应用和软件知识产权的安全。

借助于悬镜安全提供的开源治理解决方案，通过引入源鉴OSS工具及服务，用户能深度分析数字化应用代码成分及多级依赖，全方位审查通用、业务逻辑、第三方开源组件等软件供应链安全漏洞，使安全自动化、流程化地融入到企业的DevOps和内部漏洞管理平台，实时发现业务迭代过程中存在的安全风险，通过漏洞信息联动，达成安全缺陷持续反馈，使业务在上线前减少85%以上的中高危漏洞，从而在内部逐步建立起完备的开源治理体系，为自身数字化转型赋能。

目前，源鉴OSS已广泛落地于包括金融在内的通过引入开源组件等实现数字化应用开发敏捷化及业务交付加速等的各大规模行业，并高度适用软件开发生命周期的安全自查、业务外包的安全自查、第三方代码/组件引入安全自查等应用场景。