固源供应链 | 软件成分分析工具检测能力测试结果重磅发布！

经过科学测试及多轮论证研讨，现正式发布SCA工具检测能力测试结果。本次测试基于统一靶标，采用同一时间窗口内全程录屏追溯的公平测评机制，是行业首次对SCA工具的多维度能力全景扫描，旨在为需方工具选型提供参考。共11款产品通过第一阶段“检测能力测试”，晋级至“标准符合性测试”阶段。

通过产品如下：

测试方法

建立软件供应链安全工具测评新范式

为实现工具能力精准画像，本次测试创新构建标准化测评体系：

统一靶标：覆盖C、Java、Python、Go四大主流编程语言源代码包以及二进制镜像文件，确保测评基准一致性。

全程录屏：从靶标下发到结果提交，操作全程视频存档备查，保障测试过程透明、可审计。

多维评价：基于组件识别准确度、漏洞/许可证识别能力、检测速度、测试语言覆盖度等指标制定加权评分体系。

测试结果

SCA工具呈现场景专精特征

测评结果显示，不同SCA工具的检测效果存在明显差异：

语言适配差异：部分工具在C生态检测精度领先，部分工具专注Java、Python语言；

漏洞识别差异：部分工具具有大量自有漏洞，部分工具尚未建立垂直语言漏洞库；

许可证检测差异：许可证支持数量跨度从0至3000+不等，许可证风险识别存在明显代差；

效率与精度平衡：检测速度最快的工具耗时仅为平均水平的10%，不同工具对检测速度与检测精度侧重不同；

上述差异为企业选型提供关键维度参考：开发语言生态匹配度、合规审计要求、CI/CD流水线效率需求等，均可通过测评数据锁定最优解。

测试价值

以测促建，让技术价值精准匹配业务需求

本次测评不仅是对工具能力的全面检验，更通过数据化呈现为供需双方架起精准对接桥梁：

安全企业可借测评数据定位技术长板，针对性打磨产品竞争力；

用户可依据开发语言、合规要求、检测速度等维度，快速锁定适配工具。

生态联动

开启能力进阶通道，深度发挥行业价值

通过检测能力测试的产品，可向联系人报名标准符合性测试，角逐“能力中心合作产品”：

测试重点：依据《电信和互联网软件供应链安全技术能力建设指南》，聚焦产品功能完备性、部署兼容性、工具易用性；

生态权益：三款及以上产品入选“能力中心合作产品”，共建社区“对外赋能”模式能力中心。

立即行动，让每一分技术价值都被看见，用硬实力赢得市场话语权！

测试活动联系人

徐帅健妮，18801969699（微信同号）

杨文钰，13126702122（微信同号）