一、引擎发力,组件风险无所遁形
容器镜像扫描引擎
1.1 全球独家情报库,恶意组件、文件风险精准狙击
“没有供应链风险情报预警的SCA都是耍流氓”。传统SCA工具只能检出已知漏洞(CVE),而数字时代下攻击者往往绕开CVE(如 SolarWinds),采用更隐蔽的高级攻击方式,诸如恶意组件、后门、提权文件等。
源鉴SCA 4.8基于悬镜独家XSBOM数字供应链安全情报中心,实时动态监测与溯源分析全球开源投毒组件(涵盖恶意代码、恶意行为、恶意IoC等),结合引擎算法,在扫描容器镜像时不仅能检测出漏洞,还能够分析镜像中的所有文件属性(如权限、MD5、路径等),从而识别恶意组件和高风险文件:
- 权限分析:识别不安全的权限文件,避免权限滥用、提权攻击。
- MD5/哈希校验:计算镜像中所有文件的哈希值,与 XSBOM数字供应链情报库比对,判断是否包含已知恶意软件或被篡改的文件。
- 路径分析:比如/usr/bin下的某些可执行文件如果其包含SUID (它允许普通用户以文件所有者的权限运行该程序),那么会认为其可能有逃逸风险。
1.2 首发镜像分层扫描,无死角覆盖隐形资产
在云原生场景下,容器镜像已成为软件交付的核心载体。传统SCA工具仅能识别浅显的软件包,缺乏对镜像分层结构、未经操作系统包管理器安装软件的深度分析,导致误报率高、镜像风险溯源不易、修复成本大。
源鉴SCA 4.8突破传统边界,支持逐层扫描镜像,展示容器镜像每层引入的组件(操作系统软件包、源码成分组件、二进制成分组件)及风险分布,从而精准定位风险来源;结合二进制引擎+XSBOM数字供应链情报库,源鉴SCA更能识别出传统SCA无法检出的“隐形资产”,发现恶意组件、恶意文件风险、许可合规风险等,填补传统SCA工具的检测盲区:
- 企业自研/定制软件:金融、军工、互联网等行业的企业经常使用闭源或定制化软件,这些软件可能直接通过 COPY、ADD 指令放入镜像,而非通过包管理器安装,因此不会出现在传统 SCA 工具的扫描范围内。
- 手动下载的文件:运维人员可能会在Dockerfile里手动下载特定版本的依赖软件包,例如在RUN参数后添加下载某些可执行文件的指令,这部分软件容易被忽略。
源码成分分析引擎
1.1 项目结构相似度检测,精准识别隐形依赖
在开发过程中,隐式引用第三方开源组件是一种常见情况,例如开发人员可能直接复制了代码文件,或者无意间集成了一个JAR包。由于历史遗留问题或协作疏漏,开源组件在项目中并未显式声明,项目的依赖结构不完整,导致这种“隐形依赖”的安全风险难以被检测、成为“不定时炸弹”。
源鉴SCA 4.8 支持项目结构相似度检测,即使在项目中没有显式声明依赖,通过扫描项目源代码中的文件路径、文件名称、文件内容等特征,并将这些特征与开源组件的代码特征库进行比对,可以发现项目中包含的隐性开源组件,确保检出所有使用的开源组件,避免因漏报引起的合规问题或安全风险。
1.2 指定/排除目录检测,按需加速扫描进程
在复杂的项目中,源代码文件的结构和模块划分通常会包含不同的部分,例如核心业务代码、测试代码、通用模块库等。
源鉴SCA 4.8 支持指定/排除目录检测,允许用户根据需求过滤或指定扫描范围,例如排除测试代码、通用模块库,从而聚焦核心业务代码风险,开发者可以更快速地发现潜在的安全漏洞,而不会被大量无关代码的扫描结果干扰,提高修复的效率和准确性。
1.3 配置动态模拟构建开关,灵活平衡效率与安全
动态模拟构建功能通过模拟组件的编译构建过程、生成构建的成分依赖树,显著提升检出率和准确率。如果每次都采用相同的扫描策略,可能导致某些环境下的扫描效率低下,而其他环境下又可能漏掉重要的安全问题。
源鉴SCA 4.8 提供了动态模拟构建开关,允许企业根据不同业务需求或环境灵活配置扫描策略,帮助企业在保障安全性的同时,也能平衡开发和部署过程中的效率。
制品成分二进制分析引擎
1.1 物联网(IoT)设备开源威胁检测
对于 IoT设备和嵌入式系统,内核层面的漏洞往往更为严重,因为它们直接影响设备的底层操作和安全。
源鉴SCA 4.8全新支持Linux内核检测,通过提取物联网(IoT)设备的内核二进制文件,识别内核版本并基于函数颗粒度的检测能力实现内核裁剪场景下已知漏洞的精准检测,前置把控供应链安全风险、提升固件设备的整体安全性。
1.2 移动应用SDK开源威胁检测
移动应用往往依赖第三方 SDK(软件开发工具包) 来实现一些特定的功能,例如广告投放、分析、支付功能等,用于加速开发进程。第三方SDK的漏洞可能会成为整个系统的安全隐患,尤其是在涉及支付、用户隐私等敏感数据时,漏洞的利用可能导致严重的数据泄露或控制权丧失。
源鉴SCA 4.8支持SDK检测,通过扫描移动应用的 APK(Android)和 IPA(iOS)文件,分析和识别应用中集成的第三方 SDK,包括 SDK 的名称、版本以及与之关联的已知漏洞,及时发现和修复因SDK导致的潜在开源风险,特别是在 IoT、车载应用等嵌入式场景中,填补行业检测盲区、确保敏感数据安全和合规。
二、SBOM生命周期管理 供应链资产透明无忧
SBOM(Software Bill of Materials,软件物料清单)是数字供应链治理的技术抓手。基于国内监管机构和广大头部企业用户的实践支撑,源鉴SCA4.8全新提供多项SBOM管理能力:
1.1 SBOM生成
- GitHub仓库Tag信息解析:支持从 GitHub 仓库中解析Tag信息,确保在解析 SBOM 时,所有依赖的版本号和组件信息都能够正确匹配。
- SBOM解析兼容性优化:name、purl、dependsOn等字段优化兼容增强,并新增对于软件包级别组件的解析。
1.2 SBOM审计
可审计组件为误报,将误报组件及其关联的许可证和漏洞排除在SBOM资产统计之外,使风险评估更为精准,方便安全与研发跨部门协作。
1.3 SBOM对比
支持对多个应用或单个应用多次检测任务之间的检测结果进行差异对比,并支持导出对比报告,直观管理SBOM成分及风险的差异。
三、产品易用性再升级,风险治理更高效
1.1 迁移组件推荐版本
出于需求变化、技术迭代或修复Bug等原因,开源组件可能会更改原组件名称并迁移至新的地址维护,针对此类组件迁移的情况,源鉴SCA4.8可给出原组件、迁移后组件的推荐修复版本,帮助用户兼顾最小化变动当前代码、同时保障后续长期维护的安全修复目标。
1.2 知识库SDK检索
XSBOM提供20万+开源SDK组件知识库,用户可以根据 SDK 名称、许可证、漏洞关键词等进行多维度快速检索组件风险,提升决策效率。
1.3 扩展集成配置
支持简单云私服库对接、支持OIDC通用单点登录对接
1.4 国际化支持
一键导出中英文报告,满足跨国团队或合规审计需求。
SCA技术已成为数字供应链开源治理的关键入口。源鉴SCA作为悬镜第三代DevSecOps数字供应链威胁管理体系中开源治理环节的新一代数字供应链安全审查与治理平台,同时拥有自研专利级源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎,多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表,并连续四年在市场应用率位列第一,能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力,帮助企业从引入源头、开发过程、运行监控、管理多维度闭环治理开源威胁,持续守护中国数字供应链安全。
(本文由悬镜安全投递,本站仅为转载,未验证内容真实性)
评论