易识SCA源代码成分分析系统-白皮书.pdfVIP

安般易识SCA源代码软件成分系分析系统

技术白皮书

上海安般信息科技有限公司

www.anban.tech

技术白皮书

版权声明

本文档归上海安般信息科技有限公司版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书

内容的部分或全部，并不得以任何形式传播。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、

信息和建议不构成任何明示或暗示的担保。

如需要获取最新手册，请联系安般科技技术服务部。

邮件：info@anban.tech

电话：400-888-6846

技术白皮书

目录

一、研发历程1

1.1易识SCA源代码成分分析系统的诞生1

1.2易识SCA源代码成分分析系统的愿景3

二、易识SCA源代码成分分析系统的客户价值3

2.1易识SCA源代码成分分析系统解决方案3

2.2易识SCA源代码成分分析系统应用场景6

2.2.1检测6

2.2.2CI/CD集成，敏捷开发6

2.2.3可视化展现7

三、特点与优势7

3.1技术架构7

3.2功能特点8

3.3产品优势9

四、使用方式9

五、部署方式10

六、易识SCA源代码成分分析系统FQA11

1、如何保障用户代码安全性？11

2、能否支持私有化部署或定制化开发？12

技术白皮书

一、研发历程

1.1易识SCA源代码成分分析系统的诞生

当前，混源软件开发已经成为一种主要的开发方式之一，产品大

多包含多种类型的代码：开源代码、外部开发的代码、购买的商业代

码库、开源依赖组件、内部开发的代码等。开源软件虽然为IT行业

带来了极大便利，提高了开发效率，降低了成本。却由于开源软件的

依赖和引用关系较为复杂，其安全性也往往缺少审查和管理，因此，

开源软件也增加了软件供应链的复杂性和安全风险。

开源漏洞来源广泛且杂乱，开源软件的漏洞信息散布于各个社区、

托管平台等，因此官方漏洞库收录有缺失，部分开源漏洞未能被收录

于官方漏洞库中。且开源软件维护者没有直接有效途径通知开源软件

使用者最新的漏洞情况，漏洞信息难以通知到使用者。2019年，Github

的报告指出，超过360万个开源项目依赖了Top50的开源项目之一。

rails/rails、facebook/jest、axios/axios等知名项目被其他上百万个开源

项目使用。同时，开源项目平均有180个第三方依赖组件，具体的依

赖组件数量从几个到上千个不等。另一方面，NVD、CNVD、CNNVD

等漏洞库中的开源软件漏洞数量不断增加，还有大量开源软件漏洞未

被收录到这些漏洞库中，例如，被广泛使用的fastjson组件，在2019

年持续出现的严重漏洞中，多个漏洞尚未收录到国家漏洞库中。恶意

软件包也不断出现在开源社区中，如2019年12月25日，CNNVD就

通报了roels、req-tools和dark-magic的恶意软件包的预警。

1

上海安般信息科技有限公司[/10]

技术白皮书

开源许可证风险也不可忽视，除了信息安全风险，开源软件还可

能引入知识产权风险。由于开源软件的依赖关系的复杂性，在使用开

源软件时，不同开源软件的许可证可能存在合规性和兼容性风险，从

而导致知识产权风险。2019年11月6日，数字天堂（北京）网络