清源CleanSource代码成分分析系统

软件交付说明：

1. 在线版（SaaS）：安势会将扫描引擎和KB库部署在华为云服务器上，安势会为用户提供登录账号，用户可在本地生成不可逆的哈希后上传至扫描引擎进行检测。

2. 本地版（On-Prem）：安势会协助用户将清源SCA部署在内网服务器上，推荐硬件配置如下：

CPU：64核心 x64 CPU主频2.7GHz以上
内存：512 GB
存储：10 TB NVMe磁盘

用户创建新账号后可进行项目的扫描、与CI/CD工具集成等功能的使用。

在线版与本地版功能均为检测使用的开源代码中的安全与合规风险，具体功能与特点如下。

清源 SCA 成功通过信通院《可信开源治理 工具》认证，作为国内拥有完全自主知识 产权的权威SCA分析工具，可为您快速构建准确的软件物料清单 (SBOM), 提供清晰的软件成分可视性分析，降低您的软件供应链风险，并帮助您在应用程序全生命周期对其进行管理。 

当今世界软件的开发效率越来越快，这背后离不开开源软件的贡献。
根据 Gartner 的调查报告，超过 90%的企业在其重要的 IT 系统中使用了开源软件。 从操作系统到前端应用，开源软件已经成为软件产品的核心基础设施。 

开源软件的大量使用，一方面给企业的技术创新提供巨大的助力，帮助企业将产品及服务以最快的速度推向市场， 从而获取最大收益。另一方面，企业在使用开源软件带来收益的同时，也面临着巨大的安全风险与合规挑战。 

开源不等于免费，忽视开源软件蕴含的安全风险将给企业带来灾难性的后果，而合规使用开源软件也是企业亟需解 决的重要课题，不当使用开源软件不仅将使企业面临法律风险，还将造成严重的商誉损失。 

技术优势与特点：

  快速

   - 业界领先的扫描速度，单个文件扫描仅需 20 微秒

   - 支持增量扫描

   - 支持项目构建中的依赖扫描

   - 支持代码仓库导入扫描 

  准确

   - 支持所有语言的代码扫描

   - 多种扫描引擎识别不同方式引入的开源组件

   - 涵盖 NVD、CNNVD 等国内外主流漏洞数据库

   - CVSS 评分及 CWE 分类数据

   - 漏洞关联 POC，组件升级及修复指导 

  全面 

   - 多种探测技术提供不同颗粒度的扫描识别以生成完整的软件物料清单

   - 通过与DevOps 集成进行自动扫描，与软件开发流程无缝集成

   - 可通过项目、产品、版本等多维度追踪开源漏洞风险

   - 资深开源治理专家团队提供最佳落地指导实践