一、服务介绍

什么是开源组件安全及合规管理平台？

开源组件安全及合规管理平台（SourceCheck）是一款精准高效的软件成分分析产品，在软件安全开发生命周期的开发阶段和测试阶段，为企业提供第三方组件安全检测服务：识别安全风险及合规风险、定位风险影响范围、预警新漏洞，助力企业实现漏洞的快速修复和软件资产的全面管理。

二、服务优势

1、 亿量级知识库数据覆盖

支持数亿开源组件版本数据

支持 CNNVD、CNVD、Github、Google等权威漏洞数据库

支持数千种开源许可协议的检出

2、 多级别的软件资产管理

支持项目级、部门级、企业级的软件资产分类与管理

支持组件、许可、漏洞多维度数据分析

支持多级别的资产数据可视化及报告分析

3、 深层次的组件检出及分析能力

支持源码包扫描和二进制文件扫描等检测方式

支持Java、Python、Php、C/C++、Scala、R、Go等多种常见开发语言的检测

支持开源组件安全风险、合规风险的检出及组件依赖关系、组件完整性的分析

4、 灵活的管控策略配置

支持告警、阻断等多种策略内容

支持设置黑白名单、漏洞风险等多种规则粒度

支持自定义规则的生效范围

5、  及时可达的新漏洞实时预警

支持0day漏洞的实时预警

支持实时查看风险的影响范围

支持以站内信、邮件等方式及时收取风险预警信息

三、服务功能

1、 第三方组件的检测分析

支持多种主流编程语言的开源组件识别和许可检测

支持通过本地上传文件或者从仓库获取文件的方式进行开源组件识别和许可检测

支持常用依赖包管理器的开源组件依赖检测

支持容器镜像包的检测，对容器镜像包内基础环境及应用进行审查，对开源组件漏洞等安全风险进行检测

2、 软件资产管理

支持多层级项目应用架构管理方式

支持项目数据及应用数据的分享

支持多维度的软件资产数据统计及可视化分析

支持组件项目溯源，了解组件在不同项目下的分布

3、 软件物料清单

支持SPDX、SWID、CycloneDX等国际标准格式的软件物料清单的导出

支持项目下的组件清单、漏洞清单及许可清单的单独导出

支持定制化项目报告、应用报告的导出

4、 私有化部署—DevSecOps无缝集成

支持IDEA、Eclipse、PyCharm等多种开发工具的集成

支持Gitlab、Jenkins、Jira等多种仓库及缺陷管理工具的集成

提供标准API接口，满足企业内部各种集成场景

四、应用场景

1、 软件成分分析

分析组件的漏洞问题和合规问题，把握整体风险，避免软件带病上线。

2、 应急溯源响应

面对突发的组件安全应急时间，及时定位风险范围，实施有效的措施。

3、 组件安全选型

对有重大安全问题，需要进行废弃的组件，及时找到可进行替换的对象。

4、 软件供应链安全

梳理上中下游软件资产，生成国际通用格式的软件物料清单，实现全部软件成分清晰可见，源头可查。