数字经济的安全基石

安恒软件成分分析系统

安恒软件成分分析系统是一款智能软件成分分析系统(简称“析鉴SCA”),是面向软件组件
和供应链安全管理需求研发的基于特定二进制文件识别分析以及指纹识别技术的组件检测系
统。支持对源代码、二进制文件及特征文件中的组件进行静态解析。

首页 > 产品 > 开发安全 > 安恒软件成分分析系统
服务功能
  • 新漏洞预警

    1day漏洞响应,保障数据的实时性与准确性

  • 识别引用定位及传播流

    追踪溯源开源组件漏洞可能的影响范围

  • 私服防火墙

    开发前阻断风险,降低软件修复成本

  • 缺陷管理

    提供风险发现,修复建议,风险同步,风险重检等功能,实现软件生命周期闭环管理

  • CI/CD集成

    多类版本控制工具及构建工具集成,支撑DevSecOps方案落地实践

服务优势
  • 长期技术沉淀加之知识库积累

  • 高开放性支持第三方集成

  • 丰富语言和检测方式

  • 长期技术沉淀加之知识库积累

    安恒信息内部拥有强大的威胁情报分析团队,支持1day漏洞库更新,并对相关影响组件进行风险预警,保障数据的实时性与准确性

  • 高开放性支持第三方集成

    与CI服务器与多类缺陷管理工具集成,将第三方组件安全检测融入企业的DevOps研发流程中

  • 丰富语言和检测方式

    目前支持JAVA、JavaScript、Golang、C/C++等多种常用语言检测,并且支持对种主流架构的二进制文件分析,如AMD、ARM、MIPS、RISCV等

应用场景
  • 开发阶段组件缺陷自测
  • 软件开发安全体系落地
  • 场景描述
    软件开发或测试过程中,安全部门或研发部门可以通过安恒软件成分分析系统对软件源代码、特征文件、二进制文件进行安全检验。
    自云安全解决方案
    通过对相应文件中开源组件进行全面检测和分析,发现并同步缺陷管理平台其中存在的安全缺陷,同时提供专业、详细的修复建议,辅助软件开发人员进行组件修复,消除安全隐患。
  • 场景描述
    在不改变企业现有开发流程的前提下,与版本控制工具(如GIT仓库)无缝对接,分析风险后以缺陷管理平台(如禅道)进行风险跟踪,同时提供修复建议以落地软件开发安全。

    场景解决方案
    安恒软件成分分析系统支持与企业开发测试工具链集成。能够在软件开发阶段,进行自动化周期性的软件缺陷检测,且平台提供Jenkins插件与Jenkins CI项目集成,将自动化安全测试融入到pipeline测试流程中,形成DevSecOps方案。
服务价值
  • 资产清单可视化

    通过将开源组件分析、特征识别、引用定位等多种技术融合,提取相关文件指纹信息,精准识别企业软件系统中包含的开源组件,可视化呈现相关组件清单

  • 分钟级响应组件安全风险

    海量漏洞库与软件组件指纹库。在对相关漏洞数据进行清洗、匹配、关联等一系列自动化分析处理后,同步向企业推送开源组件漏洞信息

  • 自动化应用生命周期管理

    支持定时自动获取源代码中的开源组件进行安全检测,减少检测过程中繁琐的重复配置和等待时间。同时支持与缺陷管理平台对接,助力及时闭环相关风险

  • 降低软件安全问题修复成本

    在应用开发和测试阶段检出引入组件风险,并提供修复方案,在系统测试前将大部分问题闭环,降低修复成本的同时减轻应用上线后可能产生的风险

申请试用
  • 图形验证码