UniSCA通过对开源漏洞与许可证合规性的检测,有效管控开源安全风险。同时支持开源组件库与私有组件库的搭建,有效管理企业软件资产。
探索这个全新的平台
深层开源治理,提供更轻松的检测途径
UniSCA在整个SDLC中都对开发人员十分友好。在编码阶段支持与IDEA、Eclipse、VSCode等工具进行无感化集成,使开发人员能更专注于开发,不改变现有的研发流程。同时支持源代码分析与代码克隆检测,使开发者对自己的代码具有更好的掌控性,有效提升源码的稳定性与安全性。
现代软件中90%都引入了开源代码,UniSCA强大的开源组件依赖分析能力可以有效分析软件成分,检测开源漏洞与许可证合规性相关问题,根据企业的开源政策快速审查组件,提供有关组件质量的实时监察,以便开发者能做出最佳决策。
保护知识产权,满足更多样的合规需求
随着敏捷开发的普及、DevSecOps模式的流行,安全左移正在逐渐成为软件开发的共识,安全团队在SDLC中的作用越来越重要。如今的安全人员不仅仅要对代码负责、筛查漏洞与敏感信息,还需要关注开源许可证的使用情况。同时,随着软件供应链安全越来越受到重视,SBOM的使用越来越频繁,需要在项目迭代的过程中自动化地生成SBOM。
护航软件供应链安全,赋能云SBOM管理平台
DevSecOps全流程中不仅需要开发、安全与运维人员的团结协作,审计与法务部门同样需要参与其中,而且他们往往扮演着极为重要的角色。在产品预发布之前,审计部门需要通过项目管理和台账管理监控产品生产流程,并进行相应的审批流。同时,UniSCA还支持软件资产管理,开发人员可以管理组件资产、漏洞资产,审计部门可以管理软件供应商、项目成员,做到实时可视化监管。
-
依赖分析引擎
UniSCA基于常用语言包管理器中的依赖配置文件识别组件信息,关联组件漏洞。对于没有包管理器的语言(如C/C++),UniSCA依托庞大的开源组件库和组件版本特征库进行指纹匹配,绘制开源组件依赖关系图,完成依赖成分分析。
-
二进制规则匹配引擎
UniSCA通过对软件代码结构、常量字符串、函数代码等各种粗细粒度特征数据进行结合,比对分析二进制代码的成分以及各代码成分之间的相似性和同源性,并自动报告代码漏洞、信息泄露隐患、恶意代码植入等安全风险与合规隐患。
-
源代码同源分析引擎
为了保证检测的精度和速度,UniSCA在进行源代码检测时采用了序列指纹和哈希指纹两种方式,哈希指纹速度快,序列指纹精度高。这两种指纹的结合使用使得UniSCA源代码检测能够快速精准的识别组件成分、代码漏洞及许可证风险等。
-
二进制代码克隆引擎
代码克隆能够提高效率,但也可能意外引入外部漏洞。UniSCA通过对目标文件函数与库文件函数进行代码克隆的检测比对,精准识别克隆函数与相似文件,有效管控潜在安全风险。
目前市场上大部分的SCA工具往往只能做到依赖成分分析(dependency
check),即根据高级语言的包管理器抽取组件依赖信息,但对于源代码片段与二进制文件的SCA分析却束手无策。在检测、测评机构中,此类情况出现的更为频繁。UniSCA的多维度SCA检测能力不仅涵盖基础的依赖成分分析,还支持源代码同源分析与二进制同源分析,满足各类检测需求。
评测机构一般无法直接获取核心源码,往往都是一些二进制文件。传统的评测方法要通过繁琐的反编译流程,费时费力。UniSCA支持二进制文件分析,直接上传二进制包即可分析开源漏洞。同时还可以生成SBOM与多维度检测报告,使评测结果清晰可视。
为您的开发安全与软件供应链安全找到合适的方案。
查看所有UniSCA解决方案
从源头把控开源风险
用专业的SCA能力和SBOM管理护航企业软件安全
探索这个全新的平台