鸿渐-SCA
基于多种先进代码提取匹配技术、海量知识库和国际先进的自动对齐技术,保证代码分析的高效、精准和实时性。
组件可达性分析
覆盖40 万+条漏洞信息(含2万+条语句级漏洞)
漏洞可达性分析
未知漏洞分析
分析更多许可证冲突
私有库引入
构建组件关系网
组件可达性分析,漏洞检测精准高效
精准区分组件有用与否,忽略无用组件,只分析项目实际使用的组件列表。为您精准呈报有意义的组件漏洞。让您的漏洞检测成本更低、效率更高。
覆盖CVE/NVD等已公布的40万+条漏洞信息,及2万+条语句级漏洞信息,让漏洞无处躲藏
目前,鸿渐SCA已覆盖CVE/NVD、CNVD和CNNVD已公布的40万+漏洞信息,及2万+条更细粒度、对应漏洞修复或漏洞触发路径的漏洞对齐信息。为帮您提高漏洞检测精度、实现漏洞可达性分析和未知漏洞分析,打造“恢恢天网”。
漏洞可达性分析,检测细致入微
通过静态代码分析中的调用分析、可达性分析等手段,精确过滤未调用或不可达的漏洞。只为您呈报对您有用的漏洞信息,免除您人工判断和动态测试的麻烦。成本更低,更精细。
未知漏洞分析,漏洞检测“举一反三”
据研究,对于相似的代码漏洞,未公开的数量是已给出CVE编号的约3倍。鸿渐SCA基于已知漏洞特征,利用漏洞“基因”提取技术,能够对具有相似“基因”的未知漏洞进行分析,真正帮您实现漏洞分析的举一反三。
可分析更多许可证冲突,项目运行更顺利
支持分析更多组件许可证冲突,规避潜在风险,并确定正确使用方法。即便对于只允许在特定场景使用的组件,也能保证您使用的安全、合规。
私有库引入,无需担心代码复用漏洞
鸿渐SCA支持将您的自研代码库与已发现缺陷对应起来,并将其引入代码库中。那么无论您如何复用代码、迭代多少版本,利用鸿渐SCA都能快速发现哪些版本含有缺陷代码片段。
构建组件关系网,快速锁定漏洞范围
开源组件库包含大量组件,且它们之间迭代关系和引用关系交织,关系相当复杂。 针对漏洞的应急响应,通过构建开源组件的关系网,可帮您迅速锁定漏洞范围。
鸿渐-SCA主要技术及性能指标
-
项目
支持详情
-
兼容平台
支持Windows、Linux、银河麒麟等多种主流通用操作系统开发的源代码的检测。
-
支持语言
支持 C/C++、Java、JavaScript、C#、Python、PHP、Ruby、Go、Groovy、Lua、R、Matlab、Cobol、Objective-C、Pascal、Perl、SQL、Scala、Swift、Lisp、Assembly、Lisp、Assembly、Shell 等约 25 种主流开发语言
-
开源库
包含来自于GitHub、SourceForge、Google Code百万个以上的开源项目,千万个以上的版本,千亿行以上的代码
-
闭源库
包含Windows、Linux常用系统调用库、二进制、Jar文件数百万个
-
漏洞库
包含CWE、CNVD、CNNVD等著名缺陷库,及百个著名项目私有缺陷库中的近百万个漏洞
-
代码托管平台
支持GIT、SVN等代码仓库的集成,实现自动化检测
-
漏洞”传播影响分析“
分析漏洞发生在某个组件中,可以进而分析该漏洞影响哪些其他项目,同时根据分析CVE公开漏洞的基因定位与之相似的未知漏洞
-
同源检测
支持检测一级、二级克隆及部分三级克隆的情况,通过代码溯源,得到项目中组件及漏洞信息
-
许可证检测
支持包括GPL、 BSD、 LGPL、 NPL、MIT等主流许可证在内的,超过数千种许可证检测,并给出许可证风险等级
-
软件研发管理系统
Bugzilla、Jira、TFS、禅道
-
扩展能力
自定义检测规则、检测报告
-
私有库支持
支持用户私有库的添加和设置, 建设企业内部漏洞库
支持的部署方式
指纹生成客户端检测
用户可以通过指纹生成的客户端工具生成被测项目的指纹,通过离线方式上传到私有云进行检测,该部署方式生成的指纹具有不可逆性且可以与生产环境完全隔离,更具安全性。
公有云部署检测
公有云部署方式下,用户可以通过文件压缩包、SVN、Git等方式上传到鸿渐-SCA代码仓库,代码库和漏洞库全部在互联网云端,库的更新自动进行,该方式的优点是没有部署成本、易用、库更新及时。
断网环境的私有云部署检测
私有云部署方式下,用户可以将本地代码通过SVN、Git等方式同步到鸿渐-SCA检测服务端检测并生成报告,相对公有云而言它所有的库都在本地,可以断网检测,安全性和易用性都可以得到保障,缺点是库的更新由客户在本地环境完成。
成功案例
2019年以来,用户采用该方式进行检测,检测了数十个项目,检测效果得到了用户的认可。这种方式既保证了代码的安全性(无须上传云端检测),同时保证了检测系统易用性(无须部署)。 目前已经使用鸿渐-SCA的还包括中国赛宝实验室、军事科学院、战略支援部队等。
