SmartRocketScanner软件成分分析工具

行业背景

随着计算机技术的发展，开源软件的使用率正在平衡快速增长，在软件开发过程中使用开源软件时，不应仅仅关注开源软件的功能，还应把安全作为重要因素纳入考量。SmartRocket Scanner专注于通过软件生命周期开源安全与合规分析管理平台识别并规避相关开源风险，提供全面的解决方案，帮助企业实现开源的安全性，确保其产品和服务的安全，建立一个健康的开源软件生态系统。

产品概述

SmartRocket Scanner是一款开源组件成分资产安全与合规分析管理工具，基于左移安全、DevSecOps、实时监控的安全理念，在软件生命周期中对开源软件和依赖组件进行持续自动化识别、组件清单管理、安全风险分析与漏洞修复、许可证风险分析、持续集成管理、用户库管理等，并与第三方开发工具无缝集成，实现自动化的安全分析、策略执行、持续集成以及实时监控，针对新的漏洞及时响应与定向通知。工具适用于敏捷开发/流水线/安全左移等持续管理与监测平台，来通过产品解决方案帮助企业解决对开源软件维护、管理不善而产生的问题等。

产品功能

01 深入式分析

多维度代码静态扫描、依赖包扫描、代码同源扫描、镜像扫描，进行透彻行分析。

02 高效漏洞修复

精确分析定位并提供漏洞级解决方案或缓解措施，为风险评估提供详细信息。

03 许可证合规性

提供全方位的开源许可证识别、风险分析、溯源分析和兼容性分析。

04 持续监控溯源

系统知识库每日更新，及时发现新漏洞影响组件与项目，定向推送与响应。

05 技术无缝对接

提供丰富的插件、APIs或第三方接口，无缝集成至客户DevOps系统。

06 定制化开发

高效率的研发服务团队，可针对客户的特定需求进行快速定制化开发。

产品优势

01 动态安全版本推荐

提供动态解决方案，选择与用户使用版本最近的安全版本进行推荐升级，保证兼容性，若多个漏洞属于同一组件则会推荐统一版本进行修复。

02 灵活自建依赖库

支持企业自主构建漏洞库及开源软件知识库，项目能及时检测出是否引入该依赖或漏洞，同时工具提供开放的API，支持灵活的客户化定制。

03 全方位组件防火墙

用户可基于漏洞风险等级、许可证、组件黑白名单设置规则，自动阻止有风险的组件进入私有仓库，防止问题组件进入软件开发生命周期。

04 高效率敏捷开发

支持在编码过程中发现代码问题并定位到行，快速给出修复建议，在构建阶段根据用户自定义规则进行自动化策略执行，及时阻断实现安全左移。

05 数据可视化工作台

为管理团队提供整个企业的开源资产可视化大屏，清楚掌握所使用的开源组件、开源漏洞、漏洞变化趋势等，直观统计并协助企业管理安全资产。

06 实时监控与精准推送

实时监控开源软件漏洞情报，关联用户的相关项目，做到及时响应，提供邮件和钉钉等事务跟踪工具配置，进行定向提醒、精准推送问题信息。

成果应用

01 汽车制造商

随着嵌入式软件开发的快速发展，汽车行业也在不断引入开源软件和第三方依赖组件的使用。但大多数企业缺乏针对软件生命周期的开源软件安全管理，缺乏“早发现、早检测、早修复、早管理”的产品理念，使得开源软件和依赖组件的漏洞被引入到软件中。Scanner可以在风险管理、开发阶段、测试阶段及时发现漏洞，做到安全左移，并在软件运行阶段监控开源软件漏洞情报，关联相关项目，做到及时响应。

02 软件开发商

当前混源软件开发已经成为主要的软件开发方式之一。混源软件开发虽然为软件开发商带来了极大便利，提高了开发效率，降低了开发成本，但由于其在开发过程中对开源软件的依赖和引用关系较为复杂，使其安全性缺少审查和管理，也因此增加了软件供应链的复杂性和安全风险。Scanner能从组件成分分析中识别使用开源代码的方式，包括完整引用开源项目、引用部分开源项目源文件、引用开源代码片段，以改善开源软件成分“脏乱差”问题。

03 金融业

金融行业对开源许可风险不可忽视，除了信息安全风险，开源软件还可能引入知识产权风险。由于开源软件依赖关系的复杂性，在使用开源软件时，不同的开源软件许可证之间可能存在合规性和兼容性风险，从而导致知识产权风险。Scanner从开源许可证识别、开源许可证风险分析、开源许可证溯源分析以及开源许可证兼容性分析等多个维度全方面地保障金融企业安全，防止风险传递，保障软件生命周期的安全。