安全工具推荐 | 软件成分分析工具悬镜安全源鉴SCA，业内排名TOP 1的SCA工具

开源软件带来的安全性问题非常多，而SCA在软件成分分析、组件投毒检测、许可证合规风险、漏洞风险、软件代码开源比例检测等方面，都有很好的效果。可以看作SCA软件成分分析是数字供应链安全开源风险治理中最核心的工具，也是数字供应链安全的管理入口。本文结合悬镜安全源鉴SCA工具的深度使用来展开介绍国内排名 Top 1 的SCA工具。

发展历程：

2016年，悬镜开始了第一代SCA产品技术的研发工作，历经4年，2019年开始正式的商业化应用。目前，悬镜最新源鉴SCA已演进到第三代，同时作为悬镜第四代DevSecOps数字供应链安全管理体系中的开源治理环节的新一代数字供应链安全审查和治理平台，同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。

核心能力：

组件依赖及风险检测

基于悬镜独有的运行态代码级开源软件成分检测，深入分析引入开源组件的直接和间接依赖关系，形成可视化图谱，并进 行许可证风险判定和漏洞风险关联分析。

代码溯源分析

基于代码成分溯源引擎，通过智能同源分析算法和大数据指纹库检测代码片段的相似度，分析源代码漏洞风险、许可证合 规兼容风险以及源代码自研率。

二进制制品检测

基于制品成分二进制分析引擎，在无法访问应用程序源代码时，源鉴SCA 可通过二进制程序溯源其所包含的开源代码库， 分析其中的漏洞风险、许可证风险和敏感信息风险。

容器镜像检测

内置智能容器镜像检测引擎，通过扫描容器仓库内的镜像，发现开源组件漏洞、软件包漏洞、敏感信息等，及时排除在打 包镜像过程中可能引入的不安全因素。

私服库安全控制

支持集成Sonatype Nexus、JFrog Artifactory等主流私服仓库，并对风险组件进行入库出库拦截，实现引入来源控制。

SBOM检 测

支持对标准格式DSDX、SPDX、SWID、CycloneDX 的SBOM 文件进行检测和导出，并结合供应链情报进行实时精准的全局 资产动态预警 。

产品价值

Al驱动风险检测 开源组件风险分析 高效的风险处置流程 完善的闭环修复方案 赋能信创生态

基于LLM 大模型，实现AI自动化分析开源许可证风险，帮助企业全面了解许可证法律 合规问题。且提供Al成分分析能力，快速检测Al生成代码，规避其潜在安全风险。 自动梳理公司组件资产，可视化展示依赖关系并关联组件漏洞影响范围，实时跟踪预 警、及时回溯，为解决组件风险快速提供依据。 可无感接入企业原有DevOps 流程，持续自动获取应用组件数据，治理存量和增量组件 存在的风险，并将检测结果提交至企业Bug 管理系统中，方便开发人员高效处置。 结合漏洞修复优先级提供详细的漏洞修复过程，同时通过计算，给出一次性修复最多 问题的组件级别推荐修复版本，提高开发团队的作业效率。 支撑与国产主流信创环境的兼容适配，并提供一键数字应用供应链安全审查服务，确 保信创应用快速符合相关监管要求。

开源社区

悬镜安全正式发布全球首个开源数字供应链安全社区OpenSCA，涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户，为全球开发者们和广大安全研究人员构筑专注安全开发与开源治理的技术创新实践社区。

当前，OpenSCA社区是国内用户量最多、应用场景最广的开源SCA技术（参考中国信通院《中国DevOps & BizDevOps现状调查报告2024》），通过软件码纹分析、依赖分析、特征分析、引用识别、开源许可合规分析及组件投毒分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。

悬镜SCA技术生态架构