源鉴SCA4.6重磅发布 | 更智慧的引擎,情报预警与同源分析大升级!
2024-8-16 11:21:59 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

天下武功,唯快不破     

实力强横,浪潮澎湃      

1

全面接入数字供应链情报

悬镜云脉XSBOM数字供应链安全情报预警平台融合超100类渠道数据,并结合策略、AI、专家体系化运营以及风险评级模型,对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析。

源鉴SCA4.6深度集成实时更新的供应链情报,并与用户SBOM资产智能匹配关联,提供独家的应急指南和临时缓解方案,让企业能够更快地响应突发的供应链安全事件,减少风险暴露时间。

1

情报更新频率6小时/次,重大投毒、漏洞事件小时级响应;

2

恶意组件情报:可查看恶意组件项目地址、影响版本、恶意组件描述、不同版本对应的IoC数据等信息,并提供高价值投毒独家技术分析,包括详细复现步骤、修复方案;

3

供应链投毒情报:快速、准确地检出供应链投毒行为,防止恶意代码扩散蔓延;

4

漏洞情报:可查看漏洞利用信息,提供详细的复现步骤及修复方案。

2

代码成分溯源分析引擎重磅升级

更全面的组件成分检出

对于像C、C++等语言,其依赖关系和组件成分往往较难检测。源鉴SCA4.6代码成分溯源分析引擎可对C、C++等源码级组件进行更深层次的分析,有效补充现有的组件成分检测,全面审视开源代码片段的安全风险。另外,功能支持查看用户上传的应用文件和匹配开源文件之间的代码段对比,从而更准确地进行合规性检查和风险评估。

更细粒度的检测精度

源鉴SCA4.6不仅在文件层面,更在函数级别、代码片段级别进行检测,甚至支持检测长度超过3行的任意代码片段,以捕捉更细微的代码变更和风险;内置引擎基于代码的语法结构和语义进行解析,从而更准确地识别出潜在的问题。

更多的检测语言支持

包括Java、C、C++、Python、PHP、Go等多种主流编程语言,满足各种不同技术栈企业的需求。

自研代码占比分析

通过多维度的计算,分析开源代码和自研代码的占比,从而识别软件的自主可控程度。

严防死守,每个角落      

1

移动应用格式Android APK检测

数据显示,在应用商店最受欢迎的移动应用程序中,绝大多数(63%)包含具有已知安全漏洞的开源组件,每个具有漏洞的应用程序包含平均39个漏洞。这些安全漏洞不仅面临着被攻击的风险,还会导致用户以及厂家的敏感信息泄露。

源鉴SCA4.6支持深度检测移动应用格式Android APK文件,用户一键上传应用包,即刻全面扫描APK中包含的classes.dex文件,assets/、res/、lib/目录等,精准识别其引入的组件及版本,并检测组件版本相应的漏洞、许可证合规性问题以及供应链投毒等风险;同时检测Android APK中的敏感信息及其存放路径,防止敏感数据外泄,确保应用的安全性和隐私合规性。

2

容器镜像扫描

容器镜像是一个封装应用程序及其依赖环境的文件,它使得应用程序在不同环境中具有一致性,由于容器镜像广泛用于开发、测试和生产环境,镜像的安全性直接影响整个软件供应链的安全。

源鉴SCA内置智能容器镜像检测引擎,4.6版本在此基础上扫描能力再次升级焕新,可识别容器镜像内的组件成分和安全风险,包括恶意文件、组件漏洞、许可证信息、敏感信息、供应链投毒信息:

1

扫描能力覆盖更广泛的容器生态系统,支持开放容器计划(Open Container Initiative, OCI)规范的容器镜像;

2

在一些复杂的项目中,镜像文件可能被多级压缩以便于传输和存储,源鉴SCA4.6支持识别和分析多级压缩包内的镜像文件,不放过任何潜在的安全盲点。

3

源码成分分析

新增支持Dart等主流语言

Dart语言在移动开发领域,特别是在与Flutter框架结合使用时,得到了广泛应用。

支持配置企业私有源

许多企业在开发过程中使用自建的私有包管理仓库,该功能可确保在检测过程中准确识别并分析来自私有仓库的依赖包,提升检测结果的全面性和准确性。

支持私有组件标识

有利于用户维护自有SBOM资产台账。

更快、更稳、更简便      

1

源鉴SCA4.6源码成分分析在更完善的动态模拟构建及检测逻辑的基础上,检测效率提升2-10倍;

2

代码溯源成分分析引擎在不丢失检测能力前提下,实现了2-3倍的数据压缩,更低的磁盘IO、内存及CPU占用,现已支持任意项目大小检测,文件级、函数级及代码行级检测速度大幅提升;

3

国产化兼容适配:新增支持达梦、OceanBase、TiDB、TDSQL/TXSQL等国产数据库及东方通中间件;

4

更加标准易用的OpenAPI:优化API接口的分类和文档,简化接口请求和返回,用户可以更快速地上手并进行系统集成;

5

平台易用性增强,新增支持风险标记及审计,优化组件依赖关系及依赖层级、导出报告内容等;

6

进一步扩展集成,新增支持Coding流水线脚本和FTP对接方式。

作为新一代开源数字供应链安全审查与治理平台,源鉴SCA深度融合悬镜首创的代码疫苗技术,是国内首款集组件成分分析、代码成分溯源、制品成分二进制分析、运行时成分动态追踪及容器镜像扫描五大核心引擎和供应链安全情报预警能力于一体的多模SCA开源治理平台,连续三年市场应用率第一,帮助企业从引入源头、开发过程、运行监控、管理等多维度闭环治理开源威胁,持续守护中国数字供应链安全。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队”XMIRROR”,作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647791324&idx=1&sn=12514828b96eac27d0c73b77601bd5c1&chksm=87709e8bb007179db181e49f59db9ad2dc4732532637b9b07382d41b4ffba259e2ec07ef14af&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh