国内软件成分分析SCA产品评测

. 概述

SCA理论上来说是一种通用的分析方法，可以对任何开发语言对象进行分析，Java、C/C++、Golang、Python、JavaScript等等，它对关注的对象是从文件层面的文件内容，以及文件与文件之间的关联关系以及彼此组合成目标的过程细节。从SCA 分析的目标程序形式上分，既可以是源代码也可以是编译出来的各种类型的二进制文件，分析的数据对象对程序架构，编译方式都是不敏感的，比如：类名称、方法/函数名称、常量字符串等等，不管目标程序运行在x86平台还是ARM平台，不管是windows程序还是Linux程序，都是一样的，简而言之SCA 是一种跨开发语言的应用程序分析技术。

SCA分析过程：首先对目标源代码或二进制文件进行解压，并从文件中提取特征，再对特征进行识别和分析，获得各个部分的关系，从而获得应用程序的画像—–组件名称+版本号，进而关联出存在的已知漏洞清单。

由于SCA分析过程中不需要把目标程序运行起来，因此具有分析过程对外部依赖少，分析全面，快捷、效率高的优点。

2. 国内主要厂商信息概览

国内厂商包括∶悬镜安全、中科天齐、北大库博、泛联新安、啄木鸟、思客云、鸿渐科技等。

1.悬镜安全

成立时间：2014年

主要产品：源鉴SCA、OpenSCA开源社区、灵脉SAST、灵脉IAST、数字供应链安全情报预警平台、ASPM、PTE等

SCA产品优势：

源鉴SCA作为新一代开源数字供应链安全审查与治理平台，深度融合悬镜全球原创专利代码疫苗技术，同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。

悬镜旗下全球首个开源数字供应链安全社区OpenSCA，是国内用户量领先、应用场景全面覆盖的开源SCA平台。OpenSCA通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。

基于其深厚的技术实力和产品应用实践，悬镜源鉴SCA连续多次被Gartner、 Forrester等国际权威咨询机构评为SCA技术代表厂商；OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。

2.中科天齐

成立时间：2018 

主要产品：自定义语言漏洞管理平台/SAST/IAST/SCA/日志分析

产品优势：背靠中科院，产品实力较强

3.啄木鸟

成立时间：2013年

主要产品：SAST、DAST、IAST、SCA、软件开发安全检测平台

主要特点：产品性能不错，少数愿意提供定制化服务的厂商

4.泛联新安

成立时间：2017

主要产品：SAST、DAST、IAST、SCA、Interrupt Safe、InterfaTest、Fuzz、VHawk、ChipDevTurbo

主要特点：背靠国防科技大学，产品覆盖软件安全、测试和EDA工具，研发能力强

5.北大库博

成立时间：2000

主要产品：源代码检测（SAST、DAST、IAST、SCA）、大数据分析、智能应用产品

主要特点：背靠北大，产品实力较强。

总结

每个厂商都有各个擅长的领域，并且在领域内有"拳头"产品。

国内也有专业的评测机构对市面上的SCA产品做专业的评测，比如悬镜源鉴SCA连续多次被Gartner、 Forrester等国际权威咨询机构评为SCA技术代表厂商，并在国内首家通过网络安全等级保护与安全保卫技术国家工程研究中心与公安部第三研究所网络安全等级保护中心《软件成分分析系统技术规范》检测评估，荣获供应链安全检测证书工具类-增强级（证书编号CSPEC-GGJ2401001）认证证书；OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。