喜报
安势信息以卓越之姿再度斩获权威认证!安势清源SCA凭借技术优势、创新能力和广泛的应用前景得到上海市经济和信息化委员会及各行业专家组高度认可,成功入选《2024年上海市网络安全产业创新攻关成果目录》。
为推动上海市网络安全产业发展,建设网络安全产业创新高地,促进优秀网络安全产品和解决方案市场化、产业化,挖掘和表彰在网络安全产业中取得显著创新成果的企业和产品,上海市经济和信息化委员会于今年9月发布《上海市经济信息化委关于开展2024年网络安全产业创新攻关目录成果征集工作的通知》(沪经信软〔2024〕639号) ,并于10月由不同行业的15位技术专家对全国42家企业57项创新产品成果进行深入评审,经过角逐,最终20家企业入选,安势清源SCA作为唯二入选基础技术创新类中软件供应链安全治理攻关成果项。
安势清源SCA作为一款拥有完全自主知识产权的的软件成分分析工具,提供多种先进的探测技术、全面的数据库和灵活的部署方式,帮助企业快速建立准确、全面的软件物料清单(SBOM),保证开源组件的高度可见性。依托强大的漏洞可达性分析和漏洞治理能力,助力企业有效降低和管理其应用中因使用开源软件和其他第三方软件引入的安全、质量和许可证合规风险。
清源SCA核心功能及能力:
多维度全面检测
对不同方式引入的开源组件自适应识别算法、通过包管理器构建、目录识别、文件识别和代码片段识别等方式,识别项目中使用的开源组件及其组件名称、组件版本、组件URL、最新版本号、组件许可证、依赖关系、使用的加密算法、供应商、组件版本等详细信息。
识别组件安全风险
支持组件、依赖和代码级别的漏洞识别,可直观展示漏洞引入路径、精确定位风险、分析影响范围,并对新的安全风险第一时间预警、给出详细漏洞信息,展示漏洞依赖的许可证识别信息。
开源组件合规风险
精确识别开源组件许可证、文件许可证、项目许可证、组件版权、文件版权、支持多种许可证和无许可证声明的扫描,提供许可证条款解读,持续监控上游软件使用的许可证变更情况,提供实时预警。对许可证之间的兼容情况、许可证篡改行为进行检测与分析。支持自定义许可证检测告警策略。
安全审计能力
支持依据企业业务情况对扫描结果进行审计,可生成Excel、安全分析报告(HTML)、安全分析报告(PDF)、Notice文件(TXT)、Notice文件(HTML)、文件清单报告(EXCEL)、CycloneDX 1.5(JSON)、CycloneDX 1.5(XML)、自研代码率(EXCEL)等格式检测报告,并且支持报告内容可选择定制,支持自定义检测策略并依据自定义策略对存在的安全风险组件、合规风险组件、可更新组件等进行策略设置,并在触发策略的第一时告警通知。
二进制软件包扫描
针对Linux安装包、Web部署包、安卓和鸿蒙应用、IoT固件包等二进制应用进行开源组件合规和漏洞检测。无需依赖源码库或源文件、实现无入侵快速检测。针对引入的第三方软件包进行合规和安全漏洞排查。通过全面、直观的报告和专业的告警分析助力企业进行上线前自检、修复。
漏洞可达性分析
凭借漏洞可达性分析分析技术,可准确定位漏洞函数的同时描绘出组件间和组件内的漏洞传递,并通过函数调用分析查看函数是否易受攻击,从而大幅降低误报率。
可视化的数据总览
通过以图表的形式直观展示被检测项目软件成分、策略告警、安全风险等情况,以项目-产品-版本多维度研发管理,并与风险点关联展示,快速掌握软件成分信息、安全合规风险,并且支持自定义仪表盘,可迅速检测重点关注对象。
安势信息持续深耕软件供应链安全领域,坚持创新为本,为企业和政府提供高质量的可信软件供应链安全和治理服务。
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清流PureStream(AI风险治理平台)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
