产品介绍

第三方组件已经成为各种行业应用软件的重要组成部分。

研发人员在开发过程中习惯性地大量使用三方组件提高开发效率,一个三方组件又会依赖其它更多组件,多级依赖关系最终形成一个复杂的树状结构,这种结构对于应用软件的研发人员和使用人员来说都是不可知、不可控的。即使开发人员受过严格的安全培训,写出了绝对安全的代码,也可能因为某个间接引用的未知组件引入严重的安全漏洞。

作为《Gartner 2020软件成分安全分析市场指南报告》中唯一推荐的中国产品——默安科技自主研发的SCA,是默安雳鉴DevSecOps全流程解决方案的重要组成部分,帮助客户管理应用中第三方组件所带来的安全、质量以及许可证合规性等方面的问题,避免第三方组件带来的风险。

产品优势

海量自营数据,多语言支持

系统内置370w+第三方组件库数据、17w+第三方组件漏洞数据,支持检测Java、Python、C/C++、C#等多种代码语言。

多引擎结合,低漏报低误报

使用基于AI技术的第三方组件识别引擎和代码分析引擎,对数据流、控制流、符号表、配置文件进行分析,软件成分分析更加精准全面。

验证便捷,提高修复效率

快速定位三方组件被引用的位置,展示三方组件在不同项目中的引用信息,帮助安全人员快速复现漏洞,极大地提高研发人员的修复效率。

1day漏洞应急,快速响应

实时更新组件漏洞库数据,支持软件成分列表一键重新检测;在新漏洞公布后帮助企业确认受影响的第三方组件,帮助安全人员及开发人员完成快速修复。

自主研发,安全可控

拥有多项发明专利及软件著作权证书。

产品功能

可视化的软件成分管理

使用基于AI技术的组件识别引擎,全面发现所有三方组件,以及这些三方组件之间的互相依赖关系,树状图形化展示,实现管理可视、库信息可视、库详情可视,一目了然。

全面准确地发现所有组件漏洞,精准定位

使用基于AI的智能分析引擎发现所有的三方组件漏洞,精确、详细地反馈漏洞信息,以及问题组件的引用位置,帮助开发人员快速定位和修复漏洞,减少沟通成本;
涵盖近10年所有常见组件已知的安全漏洞,并自动化定期更新针对第三方组件、框架、系统的新漏洞,实时支持1day响应。

分析三方组件的许可证合规性风险

涵盖各类常用开源许可证,提供开源许可证的完整信息,快速定位合规风险,帮助企业及时把控软件成分使用上的法律风险。

多种扫描方式对接

支持配置文件扫描、源代码片段扫描、代码仓库集成扫描、War包扫描、Maven私有仓库扫描等多种方式,降低研发人员使用成本。

与CI/CD流程无缝集成

提供Jenkins插件并支持Pipeline自动化流水线操作,与原有DevOps流程整合;支持与JIRA、禅道的集成,实现漏洞自动化管理;丰富的Web API接口,供第三方平台调用。

报表自动化生成,安全价值量化可见

自动化生成详细展示软件成分库的信息报表和漏洞报表,以多种方式发送,让运维管理更轻松。

即刻获取产品试用

点击申请