2023年6月20日，安全牛威望发布《SCA产品技能运用攻略》陈述，思客云作为国内专业的软件供应链安全解决计划供给商，自主研制出国内先进的找八哥SCA产品，成功入围陈述，成为三大中心才能产品之一。

　　SCA软件成分剖析系统，作为软件供应链安全系统最重要的才能产品之一，为用户供给从代码、组件、软件、云容器的多个层级的软件成分剖析和安全缝隙检测。

　　找八哥SCA产品可以协助用户进行开源组件，开源代码，开源软件，Dock容器的成分剖析，SBOM辨认，安全缝隙检测，答应证协议合规等全面的安全检测才能，其内置三十万级缝隙，千万级组件，百亿行代码的指纹特征信息，为用户的软件安全供给最全面的检测与防护。

　　组件式开发的常态化，使运用程序组件中的缝隙层出不穷，软件成分及成分危险的可见性，成为供应链危险办理的重要一环。在此布景下，越来越多企业将软件成分剖析（SCA）作为开发的重要组件遵从到了开发流程中去，成为企业代码开发的安全基线。但是，快速开展的商场需求也往往会伴跟着鱼龙混杂的炒作泡沫。SCA作为一种新式的软件代码安全才能，大都企业用户对其技能原理、功用价值以及运用方法还不是很清楚，对怎么选型适宜的SCA计划也相同存在许多困惑。

　　为了更好地了解企业用户对软件成分剖析东西的需求及运用现状，总结SCA技能成功运用经历，安全牛依据第十版全景图相关细分范畴的调研数据，特别邀请了安普诺信息（悬镜安全）、安天、比瓴科技、墨菲安全、奇安信、思客云6家（厂商次序不分先后）国内软件成分剖析SCA技能代表性厂商，联合主张《软件成分剖析SCA运用攻略》陈述研讨（以下简称“陈述”），对当时SCA技能的用户需求、才能建造、典型运用、成功事例以及开展趋势打开研讨调研。2023年6月20日，陈述正式发布。

　　在软件供应链安全危险及安全才能左移需求的驱动下，软件运用安全正在从单一的测验才能向开发进程和供应链安全等泛场景化计划演进，在产品形状上也呈现出从AST（运用安全测验）向供应链安全办理扩展的趋势。

　　陈述调研制现，超越50%的受访企业表明现已重视并愿意在运用开发项目中运用SCA类安全东西，其间45%的调研者表明会在选型运用安全防护东西时优先选用SCA计划。

　　我国的SCA技能研制和商场运用均晚于国外，其技能的来历也有必定差异。国外用户的常识产权认识相对较高，SCA产品在代码审计、答应合规和兼容方面的才能比较杰出；而国内用户愈加重视监管合规，包含对开源缝隙危险的办理以及软件可维护性，因而现在国内SCA产品更多是以缝隙辨认、修正和呼应处置作为首要才能。

　　跟着软件供应链安全事情的不断晋级，现在国内、外SCA的商场运用需求现已逐步趋于共同，我国干流的SCA产品在安全检测和答应合规等才能表现上也在快速挨近世界厂商。

　　SCA技能可以运用于软件供应链中的多个场景下，其方针用户集体包含软件开发工程师、安全测验人员、安全运维人员、风控人员和信息系统审计人员等。本次陈述调研数据显现：当时SCA技能运用者中，安全办理人员占比56%，研制人员占28%，法务和风控人员占11%，安全运维人员占比5%。

　　陈述调研制现，现在SCA技能依然快速开展，未来的产品定位将会从成分检测东西转变为供应链安全办理型东西，更多SCA技能才能或将被交融到系统化的软件供应链安全办理渠道中。

　　跟着SCA技能产品化运用的继续推进，不同厂商产品的功用和功用差别将逐步显着，详细情况如下表：

　　SCA运用价值SCA是一种跨开发言语对运用软件的组成结构进行成分查看和剖析的技能，经过辨认运用软件所选用的开发结构、组件/库、模块等要害成分信息，可以对软件制品或交给件进行危险剖析、盯梢和溯源办理，协助用户在软件供应链进程中完成安全缝隙修正、开源危险操控、法令危险躲避等软件危险办理活动。

　　本次陈述研讨认为，SCA技能是软件开发集成度和供应链安全需求上升到必定阶段的必定产品，是软件供应链安全的重要组成部分，包含成分辨认、危险剖析和危险办理三个逻辑顺次递进的才能,其间：

　　成分辨认是危险剖析的根底。它依靠常识库的堆集为危险剖析供给根底数据，成分辨认的粒度和广度决议了危险办理的精准度，其基本功用组件包含组件成分辨认、代码片断辨认、缝隙辨认和答应类型辨认四部分；

　　危险剖析是提高危险办理功率的重要条件。危险剖析的算法决议了危险办理的功率，包含开源缝隙剖析、代码同源性剖析、缝隙可使用性剖析、答应兼容性剖析等功用；

　　危险办理是SCA才能和用户价值的重要表现。它经过愈加友爱、细致和契合场景化的功用为用户供给危险预警、追寻/溯源、应急排查、防护处置等软件危险闭环办理的可视化服务。

　　SCA的基本原理是依据软件生计周期对软件结构进行逆向分化，辨认出不同的成分和组件，以及这些成分中含有的已知缝隙和常识产权类型。因而，SCA技能运用时，不只需求横向贯穿软件的出产、发布、布置、运营等悉数环节，一起也要可以纵向交融不同言语的源文件、库文件、开源组件、包办理东西等多种成分。依据调研，本次陈述将组件成分辨认、缝隙辨认修正、答应合规性剖析、同源代码剖析、危险追溯办理界说为SCA技能完成中的5个要害性技能。

　　陈述研讨发现，虽然SCA技能现已开端遭到国内企业用户的广泛重视，但其技能运用尚处于较前期的开展阶段，用户在运用组件安全才能构建中会存在以下应战：

　　在软件开发流程中推广软件成分安全检测，会添加软件开发本钱和开发人员的作业量，落地施行会不同程度遭到运用者的阻力。

　　SCA检测的有用性依靠组件和缝隙常识库的继续更新，但这些数据来历广泛，多样化程度较高，缝隙情报搜集和运维办理的作业量较大。

　　软件版别迭代频率较高场景下，SCA插件的布置或晋级会导致DevOps渠道继续集成和布置事务中止。

　　实践项目中，不标准、不标准的项目办理，使运用组件没有有用的兼容和基线支撑，给SBOM的生成、办理和标准化运用带来了必定难度。

　　大都SCA东西在缝隙检出后，都可以给出新版别晋级和修正主张。但对单个组件进行版别晋级，一般会对相关组件构成连带性影响，导致晋级后部分功用不可用。

　　企业代码财物办理不标准，在呈现新的缝隙需求快速呼应时，难以在第一时间定位到各个产品的代码库房，致使突发事情的应急呼应失利。

　　成分标识、缝隙办理方面的职业标准、技能要求、标准还缺乏，企业建造实践短少基准和依据。

　　为协助企业用户做好SCA技能运用的才能建造，陈述依据对SCA要害才能的研讨剖析，从组件成分辨认、集成才能、危险办理三个维度给出了SCA技能才能构建模型。

　　从场景化需求下手，并结合才能构建模型，理清本身的软件危险办理需求、运用目标和用户规划。

　　SCA的检测应该遵从安全左移的准则，这能有用削减杂乱的组件依靠和开发流程给缝隙修正带来的影响。

　　挑选与研制东西兼容性更强、自动化程度更高的SCA计划，有用削减研制安全办理的杂乱度，提高SCA运用有用性。

　　SCA应掩盖企业中软件流通的悉数进程，特别是要做好组件或软件出入口要害节点的掩盖和成份合规管控，并与相关的出产办理系统做好联动，将安全检测融入整个项目办理活动中。

　　从危险办理的视点，不同的软件安全检测才能要纳管到一致的软件危险办理渠道，完成危险闭环办理，提高大局危险办理的才能。

　　要做好相关人员的安全认识训练，并树立清晰的运用准则，这也是保证SCA有用落地的重要因素。

　　为了协助企业用户进一步了解我国SCA技能的运用情况和开展效果，本次陈述依据第十版我国网络安全职业全景图中“软件成分剖析”细分范畴的研讨数据，对范畴中的部分代表性厂商进行了调研访谈，并对其在SCA技能运用方面的才能特色进行了研讨和剖析。（厂商次序不分先后）

　　安普诺信息（悬镜安全）悬镜安全坚持立异驱动价值增加的商业理念，已成功研制了代码疫苗技能和下一代活泼防护结构，并能为DevSecOps供给全栈闭环产品和数字供应链安全组件化服务，首要产品包含OpenSCA/源鉴SCA开源要挟管控渠道、灵脉IAST灰盒安全测验渠道、云鲨RASP/RASPSaaS自习惯要挟免疫渠道等。经过其推出的第三代DevSecOps智习惯要挟办理系统，可以从要挟建模、开源办理、危险发现、活泼防护到安全衡量多维度赋能DevSecOps全流程的各要害环节。

　　安天安天经过20余年自主研制堆集，安天已构成要挟检测引擎、高档要挟对立、大规划要挟自动化剖析等方面的技能优势。在“关口前移，防患于未然”的安全要求下，安天也开端把安全才能基因向供应链侧拓宽，并依据反病毒引擎和安全内核模块，打造新一代软件供应链安全才能。在2022年网络安全冬训营上，安天正式发布了“国内外供应链安全现状及应对行动”的相关研讨效果，并提出了相应的对策和应对行动，可以协助我国用户更好地了解并有用防备软件供应链的进犯危险。

　　比瓴科技比瓴科技专心于构建软件安全立异解决计划，并活泼构建不依靠于人的软件安全开发才能，协助企业提高软件开发系统水平及继续性合规才能。比瓴科技现在的首要产品包含瓴镜和瓴域，其间：瓴镜是面向软件开发企业供给开源软件安全的全体解决计划，支撑多种代码成分剖析和危险辨认才能；瓴域是可编列的、自动化的开源软件办理（ASOC）渠道，经过安全编列技能，规划针对开源软件安全的开发安全运营剧本，协助企业实在落地软件供应链的办理作业。

　　墨菲安全墨菲安全现在自主研制了包含供应链财物辨认办理、危险检测、安全操控、一键修正的完好供应链安全办理才能，并依据SBOM辨认技能环绕软件全生命周期打造了软件供应链安全办理渠道。在软件供应链安全方向，墨菲安全在剖析和研讨各种安全缺点和安全隐患方面有较好堆集，可以协助用户更活泼地发现、搜集、剖析、研讨、报送缝隙信息。一起，墨菲安全的OSCS社区现已有近百名较活泼的开源安全贡献者，现已成功协助500+大型开源项目提高了代码安全性，为100w+开源项目供给代码安全危险检测服务。

　　奇安信奇安信是一家技能才能十分全面的国产网络安全归纳服务商。在软件开发安全范畴，奇安信研制推出的开源卫兵产品是一款集开源软件辨认与安全管控于一体的软件成分剖析系统，具有开源财物辨认、开源危险剖析、开源管控、集成等较全面安全防护才能。它经过智能化数据搜集引擎在全球范围内获取开源软件信息及其相关缝隙信息，使用自主研制的开源软件剖析引擎为企业供给开源软件财物辨认、开源软件安全危险剖析、开源软件缝隙告警及开源软件安全办理等功用，协助用户把握开源软件财物信息，及时获取开源软件缝隙情报，下降由开源软件带来的安全危险，保证企业交给更安全的软件。

　　思客云长时间致力于静态代码安全测验、动态浸透安全测验、安全测验办理渠道等软件安全测验东西的研制与运用，特别是在静态代码测验方面，思客云堆集了丰厚的研制、运用与实践经历，并以此衍生出了和SCA技能相关的软件安全咨询服务、安全测验系统建造、安全开发系统建造以及软件安全常识训练，可认为用户供给完善的软件安全测验办理理念和安全测验办理的解决计划，并构建掩盖软件开发全生命周期的安全保证。

　　思客云依据多年的职业经历，不断立异和开展，在软件供应链的安全危险骤升的时期，许多用户面临杰出其来的软件供应链进犯，一时间不知道怎么下手来一致的办理这错综杂乱的软件供应链，思客云首先推出软件供应链的安全办理渠道——烽火台SSC。该渠道可以全面地办理软件供应链的各个环节，多维度地发现和辨认软件供应链的危险。详细特色如下：

　　思客云将不断习惯年代开展需求，使用其丰厚的职业经历和客户痛点认知，进一步提高产品才能，将自研的中心技能快速转化为继续提高服务的流程化产品，推进以用户价值为导向的产品立异，为用户供给专业的产品。