行業背景

隨著計算機技術的發展，開源軟件的使用率正在平衡快速增長，在軟件開發過程中使用開源軟件時，不應僅僅關注開源軟件的功能，還應把安全作為重要因素納入考量。SmartRocket Scanner專注于通過軟件生命周期開源安全與合規分析管理平臺識別并規避相關開源風險，提供全面的解決方案，幫助企業實現開源的安全性，確保其產品和服務的安全，建立一個健康的開源軟件生態系統。

產品概述

SmartRocket Scanner是一款開源組件成分資產安全與合規分析管理工具，基于左移安全、DevSecOps、實時監控的安全理念，在軟件生命周期中對開源軟件和依賴組件進行持續自動化識別、組件清單管理、安全風險分析與漏洞修復、許可證風險分析、持續集成管理、用戶庫管理等，并與第三方開發工具無縫集成，實現自動化的安全分析、策略執行、持續集成以及實時監控，針對新的漏洞及時響應與定向通知。工具適用于敏捷開發/流水線/安全左移等持續管理與監測平臺，來通過產品解決方案幫助企業解決對開源軟件維護、管理不善而產生的問題等。

產品功能

01 深入式分析

多維度代碼靜態掃描、依賴包掃描、代碼同源掃描、鏡像掃描，進行透徹行分析。

02 高效漏洞修復

精確分析定位并提供漏洞級解決方案或緩解措施，為風險評估提供詳細信息。

03 許可證合規性

提供全方位的開源許可證識別、風險分析、溯源分析和兼容性分析。

04 持續監控溯源

系統知識庫每日更新，及時發現新漏洞影響組件與項目，定向推送與響應。

05 技術無縫對接

提供豐富的插件、APIs或第三方接口，無縫集成至客戶DevOps系統。

06 定制化開發

高效率的研發服務團隊，可針對客戶的特定需求進行快速定制化開發。

產品優勢

01 動態安全版本推薦

提供動態解決方案，選擇與用戶使用版本最近的安全版本進行推薦升級，保證兼容性，若多個漏洞屬于同一組件則會推薦統一版本進行修復。

02 靈活自建依賴庫

支持企業自主構建漏洞庫及開源軟件知識庫，項目能及時檢測出是否引入該依賴或漏洞，同時工具提供開放的API，支持靈活的客戶化定制。

03 全方位組件防火墻

用戶可基于漏洞風險等級、許可證、組件黑白名單設置規則，自動阻止有風險的組件進入私有倉庫，防止問題組件進入軟件開發生命周期。

04 高效率敏捷開發

支持在編碼過程中發現代碼問題并定位到行，快速給出修復建議，在構建階段根據用戶自定義規則進行自動化策略執行，及時阻斷實現安全左移。

05 數據可視化工作臺

為管理團隊提供整個企業的開源資產可視化大屏，清楚掌握所使用的開源組件、開源漏洞、漏洞變化趨勢等，直觀統計并協助企業管理安全資產。

06 實時監控與精準推送

實時監控開源軟件漏洞情報，關聯用戶的相關項目，做到及時響應，提供郵件和釘釘等事務跟蹤工具配置，進行定向提醒、精準推送問題信息。

成果應用

01 汽車制造商

隨著嵌入式軟件開發的快速發展，汽車行業也在不斷引入開源軟件和第三方依賴組件的使用。但大多數企業缺乏針對軟件生命周期的開源軟件安全管理，缺乏“早發現、早檢測、早修復、早管理”的產品理念，使得開源軟件和依賴組件的漏洞被引入到軟件中。Scanner可以在風險管理、開發階段、測試階段及時發現漏洞，做到安全左移，并在軟件運行階段監控開源軟件漏洞情報，關聯相關項目，做到及時響應。

02 軟件開發商

當前混源軟件開發已經成為主要的軟件開發方式之一。混源軟件開發雖然為軟件開發商帶來了極大便利，提高了開發效率，降低了開發成本，但由于其在開發過程中對開源軟件的依賴和引用關系較為復雜，使其安全性缺少審查和管理，也因此增加了軟件供應鏈的復雜性和安全風險。Scanner能從組件成分分析中識別使用開源代碼的方式，包括完整引用開源項目、引用部分開源項目源文件、引用開源代碼片段，以改善開源軟件成分“臟亂差”問題。

03 金融業

金融行業對開源許可風險不可忽視，除了信息安全風險，開源軟件還可能引入知識產權風險。由于開源軟件依賴關系的復雜性，在使用開源軟件時，不同的開源軟件許可證之間可能存在合規性和兼容性風險，從而導致知識產權風險。Scanner從開源許可證識別、開源許可證風險分析、開源許可證溯源分析以及開源許可證兼容性分析等多個維度全方面地保障金融企業安全，防止風險傳遞，保障軟件生命周期的安全。