鸿渐-SCA

基于多种先进代码提取匹配技术、海量知识库和国际先进的自动对齐技术,保证代码分析的高效、精准和实时性。

  • 组件可达性分析
  • 覆盖40 万+条漏洞信息(含2万+条语句级漏洞)
  • 漏洞可达性分析
  • 未知漏洞分析
  • 分析更多许可证冲突
  • 私有库引入
  • 构建组件关系网

组件可达性分析,漏洞检测精准高效

精准区分组件有用与否,忽略无用组件,只分析项目实际使用的组件列表。为您精准呈报有意义的组件漏洞。让您的漏洞检测成本更低、效率更高。

覆盖CVE/NVD等已公布的40万+条漏洞信息,及2万+条语句级漏洞信息,让漏洞无处躲藏

目前,鸿渐SCA已覆盖CVE/NVD、CNVD和CNNVD已公布的40万+漏洞信息,及2万+条更细粒度、对应漏洞修复或漏洞触发路径的漏洞对齐信息。为帮您提高漏洞检测精度、实现漏洞可达性分析和未知漏洞分析,打造“恢恢天网”。

漏洞可达性分析,检测细致入微

通过静态代码分析中的调用分析、可达性分析等手段,精确过滤未调用或不可达的漏洞。只为您呈报对您有用的漏洞信息,免除您人工判断和动态测试的麻烦。成本更低,更精细。

未知漏洞分析,漏洞检测“举一反三”

据研究,对于相似的代码漏洞,未公开的数量是已给出CVE编号的约3倍。鸿渐SCA基于已知漏洞特征,利用漏洞“基因”提取技术,能够对具有相似“基因”的未知漏洞进行分析,真正帮您实现漏洞分析的举一反三。

可分析更多许可证冲突,项目运行更顺利

支持分析更多组件许可证冲突,规避潜在风险,并确定正确使用方法。即便对于只允许在特定场景使用的组件,也能保证您使用的安全、合规。

私有库引入,无需担心代码复用漏洞

鸿渐SCA支持将您的自研代码库与已发现缺陷对应起来,并将其引入代码库中。那么无论您如何复用代码、迭代多少版本,利用鸿渐SCA都能快速发现哪些版本含有缺陷代码片段。

构建组件关系网,快速锁定漏洞范围

开源组件库包含大量组件,且它们之间迭代关系和引用关系交织,关系相当复杂。 针对漏洞的应急响应,通过构建开源组件的关系网,可帮您迅速锁定漏洞范围。

鸿渐-SCA主要技术及性能指标

  • 项目

    支持详情

  • 兼容平台

    支持Windows、Linux、银河麒麟等多种主流通用操作系统开发的源代码的检测。

  • 支持语言

    支持 C/C++、Java、JavaScript、C#、Python、PHP、Ruby、Go、Groovy、Lua、R、Matlab、Cobol、Objective-C、Pascal、Perl、SQL、Scala、Swift、Lisp、Assembly、Lisp、Assembly、Shell 等约 25 种主流开发语言

  • 开源库

    包含来自于GitHub、SourceForge、Google Code百万个以上的开源项目,千万个以上的版本,千亿行以上的代码

  • 闭源库

    包含Windows、Linux常用系统调用库、二进制、Jar文件数百万个

  • 漏洞库

    包含CWE、CNVD、CNNVD等著名缺陷库,及百个著名项目私有缺陷库中的近百万个漏洞

  • 代码托管平台

    支持GIT、SVN等代码仓库的集成,实现自动化检测

  • 漏洞”传播影响分析“

    分析漏洞发生在某个组件中,可以进而分析该漏洞影响哪些其他项目,同时根据分析CVE公开漏洞的基因定位与之相似的未知漏洞

  • 同源检测

    支持检测一级、二级克隆及部分三级克隆的情况,通过代码溯源,得到项目中组件及漏洞信息

  • 许可证检测

    支持包括GPL、 BSD、 LGPL、 NPL、MIT等主流许可证在内的,超过数千种许可证检测,并给出许可证风险等级

  • 软件研发管理系统

    Bugzilla、Jira、TFS、禅道

  • 扩展能力

    自定义检测规则、检测报告

  • 私有库支持

    支持用户私有库的添加和设置, 建设企业内部漏洞库

支持的部署方式

指纹生成客户端检测

用户可以通过指纹生成的客户端工具生成被测项目的指纹,通过离线方式上传到私有云进行检测,该部署方式生成的指纹具有不可逆性且可以与生产环境完全隔离,更具安全性。

公有云部署检测

公有云部署方式下,用户可以通过文件压缩包、SVN、Git等方式上传到鸿渐-SCA代码仓库,代码库和漏洞库全部在互联网云端,库的更新自动进行,该方式的优点是没有部署成本、易用、库更新及时。

断网环境的私有云部署检测

私有云部署方式下,用户可以将本地代码通过SVN、Git等方式同步到鸿渐-SCA检测服务端检测并生成报告,相对公有云而言它所有的库都在本地,可以断网检测,安全性和易用性都可以得到保障,缺点是库的更新由客户在本地环境完成。

成功案例

2019年以来,用户采用该方式进行检测,检测了数十个项目,检测效果得到了用户的认可。这种方式既保证了代码的安全性(无须上传云端检测),同时保证了检测系统易用性(无须部署)。 目前已经使用鸿渐-SCA的还包括中国赛宝实验室、军事科学院、战略支援部队等。