SCA 4.x系列|源鉴SCA 4.4高可用版本震撼来袭!
2024-2-4 16:0:52 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

作为新一代开源数字供应链安全审查与治理平台,源鉴SCA开源威胁管控平台深度融合悬镜首创的代码疫苗技术,是国内首个实现集代码成分溯源、制品成分二进制分析及运行时成分动态追踪三大核心引擎和供应链安全情报预警能力于一体的多模SCA开源治理平台。

架构升级

支持高可用全容器化部署

如果说引擎是产品检测效果的命脉,那么底层架构则是产品可用性的命脉。

源鉴SCA 4.4版本在底层架构层面做了完善升级:支持Docker、Docker Swarm、K8S、K3S、容器云,提供自动化的容器调度和负载均衡机制,确保容器在集群中的平衡分布,大大提升系统的高并发能力及高可用性;支持数据分布式持久化存储,提高并行数据的处理能力及响应速度,通过数据冗余和备份来提高系统的容错性,确保数据的可靠性和持久性。

二者结合,即可在数字供应链安全审查的过程中实现实时检测顺畅不中断、大规模并发不卡点、故障切换无感知,无论面向云环境或庞杂组件资产场景都可轻松应对。

赋能信创生态

提供一键数字供应链安全审查

源鉴SCA赋能信创监管合规,始终坚持自研技术引擎赋能开源数字供应链风险治理的同时,4.4版本已支持与国产主流信创环境进行良好的兼容和适配,包括x86_64/AArch64 CPU架构等基础运行环境,OpenEuler、OpenAnolis、麒麟等操作系统,TiDB、TDSQL等数据库,助力国产信创生态链建设,树立自主可控、安全可信样板标杆。

同时,源鉴SCA提供一键数字供应链安全审查服务,覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象,加强信创应用对组件及源代码的安全管理,以确保信创应用快速符合相关监管要求。

动态模拟构建+静态特征检测

实现源码级组件依赖解析

相比于传统的静态SCA检测,源鉴SCA 4.4在检测能力上采用动态模拟构建的方式,通过模拟组件的编译构建过程,并结合静态解析方式来检测组件依赖及漏洞,二者结合大大提升组件依赖分析的准确率及组件漏洞匹配的精准度。此外,相较于运行时SCA,该解析方式也无需通过插桩模式去检测,在使用场景上更为简单。

二进制引擎升级

制品成分深度分析

数字供应链的交付和采购阶段中,对于采购的第三方制品,无需提供源代码,以二进制制品文件的形式动态评估采购和交付过程中数字应用业务涉及的开源供应链风险,挖掘识别隐藏的新风险,厘清责任归属,高效及时检测问题并实时推送修复建议。

源鉴SCA制品成分二进制分析引擎在结合运用丰富知识库样本、基于多维特征的相似度检测算法等技术优势的基础上,新增了安装包的特征检测功能,进一步加强了编译选项的风险识别,并在固件、APK、镜像、jar包等主流格式的基础上,扩展了对更多文件格式的支持,显著提升对二进制成分的深度分析能力。

恶意文件检测

智能识别容器镜像风险

源鉴SCA内置智能容器镜像检测引擎,支持对接 Docker Registry、Harbor、GitHub、JFrog Artifactory、Sonatype Nexus、华为云、阿里云等镜像仓库,可识别容器镜像的基础环境、软件组件和依赖关系,发现相关镜像的开源组件漏洞、敏感信息等;更提供对容器镜像内恶意文件的识别能力,通过文件哈希比对、文件名或文件类型检查、文件的依赖关系分析等方式扫描容器镜像中的文件,在容器部署之前及时发现潜在的恶意文件,提升容器镜像的安全性,降低系统受到恶意攻击的风险,保障容器镜像安全。

柔和嵌入CI/CD流水线

实时监控过程风险

使用SCA产品并不意味着要在开发构建-持续交付-持续集成阶段停滞阻塞,源鉴SCA 4.4版本支持以插件或Pipeline的方式无缝嵌入至企业原有的CI/CD流水线中,实时监控过程风险,对不符合基线要求的构建及时告警或阻断,以便快速识别和修复风险漏洞,兼顾效率和安全。

灵活配置组件

安全基线及检测策略

源鉴SCA 4.4提供了更加灵活的组件安全管控基线配置选项及相关黑白名单检测策略,精准实时推送风险结果告警与指导解决方案,用户可随时根据报告内的组件升级方案或漏洞修复指导方案进行相关风险的防御与处理。

四大能力优化

1、自主扩充源码指纹库

源鉴SCA4.4版本支持源码指纹库自主扩充,用户可根据需求自行扩充新的商业、自研及开源的源码指纹库,结合源鉴SCA自身提供的源码指纹知识库,提高指纹库的覆盖率和准确性,帮助进行源码识别和分析,实现更高效、准确的源代码自研率分析。

2、本地源码指纹提取能力优化

源鉴SCA4.4版本对本地生成源码指纹功能优化升级,客户端仅在本地提取指纹信息,保障用户的源码数据安全:支持提取源代码特征文件和源代码指纹token;无需连接SCA平台,通过离线方式提取源码指纹包,在本地生成源码指纹包后,将源码指纹包离线上传到源鉴SCA平台即可检测。

3、组件依赖关系图谱优化

源鉴SCA4.4版本在原有的以动态图谱的形式展示组件依赖关系的基础上,根据项目或应用内组件的实际引入情况,以模块化或节点的方式,更明确清晰地展示项目或应用下模块/节点之间完整的组件依赖关系,并可根据模块/节点、组件风险等级筛选关联的组件依赖,同时支持对单个组件的上下级依赖关系的查看,组件依赖关系及风险情况一目了然。

4、检测结果风险告警

源鉴SCA4.4版本提供将检测结果以邮件方式或WebHook协议(企微、钉钉、飞书等)的自定义接入能力,结合质量门禁检测策略,实现相关检测结果及风险的自动化实时推送。

SCA技术已成为数字供应链开源治理的关键入口。源鉴SCA作为悬镜第三代DevSecOps数字供应链威胁管理体系中开源治理环节的新一代开源数字供应链安全审查与治理平台,同时拥有自研专利级代码成分溯源引擎、制品成分二进制分析引擎、运行时成分动态追踪引擎、容器镜像扫描引擎,能够深度挖掘开源组件中潜藏的各类安全漏洞及开源协议风险,帮助企业从引入源头、开发过程、运行监控、管理多维度闭环治理开源威胁,持续守护中国数字供应链安全。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者和新一代数字供应链安全开创者,悬镜安全始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647789789&idx=1&sn=30735db6f429e85b893d7a39267a1fbe&chksm=8770988ab007119c61d36fa650277134a010d11336f6b5f8dae30a16513c5835f2569fb9a205&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh