产品功能

分析和识别开源组件
1. 自动扫描和分析软件源代码、外部依赖的组件、二进制代码文件
2. 自动识别软件中使用的开源组件，可手动确认
3. 展示软件物料清单（SBOM）、开源代码漏洞清单、开源许可证清单、代码自研率等分析结果
开源漏洞检测与评估
1. 囊括国内外标准漏洞库情报
2. 根据软件物料清单（SBOM）分析已知开源组件漏洞和安全隐患
3. 展示漏洞的危害程度、影响范围、修复建议等情报
许可证合规性分析
1.  根据软件物料清单（SBOM）分析出软件中使用的开源组件许可证情况
2.  识别产品与开源组件许可证之间的义务冲突
3.  识别许可证风险级别
4.  支持开源许可证之间的详细冲突分析
持续监测与报告
1. 每日更新开源组件威胁情报
2. 持续监测和报告软件中新发现的漏洞和问题
3. 提供及时的安全预警和安全报告
 

产品主要技术指标

组件识别与分析

• 1. 开源知识库包含超500万以上开源组件
• 2. 源码扫描支持任意编程语言，代码依赖分析支持十多种常见语言
• 3. 二进制代码分析支持十多种常见二进制文件格式
• 4. 自动识别源代码、二进制文件和依赖项中的开源组件
• 5. 识别组件的名称、版本、作者等元数据
• 6. 多统计维度展示代码自研率
• 7. 支持盲审，无源代码时可采用提取的源码指纹完成源码分析
• 开源漏洞检测与评估
  • 1. 漏洞知识库包含超50万条开源漏洞情报
  • 2. 漏洞信息源包括NVD、CNVD、CCNVD等多个情报来源
  • 3. 自动发现和报告已识别的开源组件存在的安全漏洞
  • 4. 漏洞信息包含修复建议
  • 许可证合规性分析
    • 1. 许可证数据库含1500多种开源许可证
    • 2. 提供许可证信息来源及许可证文本下载
    • 3. 自动发现产品和已识别的开源组件之间存在的许可证义务冲突
    • 4. 识别不同开源许可证风险级别
    • 软件供应链可视化
      • 1. 可视化图表展示软件组件及其依赖、包含关系
      • 2. 展示组件与其上游依赖的层级结构
      • 3. 基于标准的SPDX格式报告输出，利于软件供应链溯源
      • 自动化测试、监测与报告
        • 1. 全自动扫描，一键启动，直达结果
        • 2. 持续监测新发现的开源漏洞，及时发出告警
        • 集成与部署
          • 1. 支持RESTful API接口，可与常用开发环境、CI/CD流程的集成
          • 2. 支持本地部署或云部署
          • 3. 可定制化集成开发