新发布SkillSec:把 Skills 安全从恶意检测,升维到能力审计SkillSec了解更多 →
首页/产品/CleanSource SCA
清源 · CleanSource SCA

CleanSource SCA

软件成分分析与开源合规治理

看清每一个开源组件,让开源用得安心、合规过关

凭借多维探测专利引擎做片段级精准识别,生成完整、准确、可追溯的 SBOM,比对多源漏洞库并管控许可证风险。

专利引擎
SBOM · 依赖关系
spring-core5.3.31 ✓
log4j-core2.14.1 · CVE-2021-44228
jackson-databind2.9.10 · 待复核
commons-text1.10.0 ✓
许可证GPL-3.0 冲突 ×1
3万亿+
代码指纹
3.2亿+
组件信息
27万+
漏洞情报
600+
语言生态
组件 · 依赖 · 漏洞 — 多源交叉比对CLEANSOURCE SCA
核心能力 / Capabilities

完整、准确、可追溯的开源风险视图

从组件识别到合规治理,覆盖开源引入、检测、修复、管理的全生命周期。

01

多维探测专利引擎

独有的多维度探测扫描专利技术,快速、全面、准确地分析软件程序,单文件扫描可达微秒级。

02

片段级精准识别

深入到代码片段级别识别开源成分,覆盖直接依赖与间接依赖的完整组件关系。

03

SBOM 生成

以标准 SPDX 或 CycloneDX 格式输出完整 SBOM,满足 NTIA 最小元素要求,增强供应链透明度。

04

多源漏洞比对

比对 CVE、CNVD、CNNVD、EUVD 与 CSSA 等多源漏洞库,可定制策略优先级与颗粒度,优先解决最关键漏洞。

05

许可证合规治理

精准定位许可证冲突,结合 SBOM 为合规与法律抗辩提供结构化证据,规避知识产权风险。

06

容器镜像扫描

在源码之外延伸到容器镜像层,保障镜像内开源组件的安全与合规。

精准识别 · 片段级

片段级指纹比对

以代码指纹与海量组件库精确比对,识别被复制、裁剪或改名的开源片段,并发现许可证篡改。

片段指纹

对函数/片段生成指纹,不依赖包名声明。

精确命中

定位到具体组件与版本。

篡改可见

识别许可证与代码被改动的组件。

代码片段指纹指纹库 · 命中openssl 1.1.1精确命中zlib 1.2.11lib-x 2.0许可证篡改!
SBOMSPDX · CycloneDXopenssl1.1.1zlib1.2.11log4j-core2.14CVElibpng1.6.37curl7.79
透明可信 · 物料清单

SBOM 自动生成

扫描即产出标准化软件物料清单(SPDX / CycloneDX),逐组件标注版本、许可证与已知漏洞。

标准格式

SPDX / CycloneDX 一键导出。

逐项可溯

组件、版本、许可证、依赖关系完整。

漏洞关联

对应已知漏洞直接标注。

漏洞情报 / CSSA

CSSA 独家漏洞情报,
比公开 CVE 早数十天

清源 SCA 的多源漏洞比对,底层由 CSSA(CleanSource Security Advisory)驱动——从上游提交、维护者讨论、安全邮件列表与包注册表行为中主动感知风险,让你在漏洞成为公共事件之前就完成评估。

超前漏洞感知

从上游提交、维护者讨论与安全邮件列表中提前数十天捕获风险,早于 CVE / CNVD 公开披露。

投毒情报

识别恶意包注入、依赖抢注(typosquatting)、维护者账号接管等供应链投毒,第一时间预警。

AI 供应链靶向

覆盖 MCP Server 与 AI Skills 生态的新型靶向攻击,把漏洞与投毒情报延伸到 Agent 时代。

CSSA · 漏洞披露时间线
D+0 CSSA 独家披露上游提交 · 维护者讨论 · 投毒模式识别
D+3 投毒情报捕获恶意包注入 · 依赖抢注 · 账号接管
D+30+ CVE / NVD 公开其他团队此刻才开始知晓
集成 / Integrations

无缝接入 SDLC 与 CI/CD 工具链

JenkinsGitLab CIGitHub Actions包管理器容器平台API / SDKIDE 插件
轻量起步 / Community

想先轻量体验?试试社区版

面向 OSPO、个人开发者与中小团队,清源 SCA 社区版开放 CLI 与部分模块源代码,注册即用。

cleansource-ce · CLI
$ cleansource scan ./my-project
› 解析依赖 ......... 142 components
› 生成 SBOM ........ spdx · cyclonedx
› 漏洞 ............. 3 high · 7 medium
› 许可证 ........... 1 conflict
✓ 报告已生成 · report.html
行业洞察

相关阅读

技术解读

SCA 工具选型:片段级与清单级检测的本质差异

两类 SCA 的差距不在功能列表,而在检测原理:清单级只相信声明,片段级验证事实。解析五大盲区场景、各自的适用边界与一份可操作的选型评估清单。

技术解读

SBOM 完全指南:格式、法规与企业落地路径

一文讲清 SBOM 的三种标准格式(SPDX、CycloneDX、SWID)、全球法规要求(美国 EO 14028、FDA、欧盟 CRA、中国金融行业),以及从生成到运营的四步落地路径。

技术解读

开源许可证冲突检测实操:五种典型冲突与工程化处置

许可证风险的难点不在单个许可证,而在组合:GPL 混入专有代码、Apache-2.0 遇上 GPLv2、声明与文件实际不符……拆解五种最常见的冲突形态与四级处置动作,全部可工程化落地。

FAQ

常见问题

CleanSource SCA 与免费开源 SCA 工具有什么区别?

CleanSource SCA 采用专利片段级扫描引擎,拥有 3T+ 代码指纹、3.2 亿组件与 27 万+ 漏洞情报库,可识别复制粘贴、部分引用与修改后引用的开源代码,检出率与准确率远超只解析依赖清单的免费工具。

CleanSource SCA 支持哪些 SBOM 格式?

支持 SPDX、CycloneDX 等标准格式的生成与导出,满足美国 EO 14028、欧盟 CRA 等法规对软件物料清单(SBOM)的交付要求。

什么是 CSSA 漏洞情报?

CSSA 是安势自研的漏洞情报体系,聚合 CVE、CNVD、CNNVD、EUVD 多源数据并进行前置研判,可比公开 CVE 提前数十天获得漏洞预警。

CleanSource SCA 支持私有化部署吗?

支持 SaaS 与本地私有化两种部署模式,可完全离线运行,满足国央企、金融等行业的数据安全与合规要求。

CleanSource SCA 支持哪些语言和包管理生态?

覆盖主流开发语言与 600+ 包管理生态(Maven、npm、PyPI、Go Modules 等),并支持容器镜像等交付形态的成分分析。

大型项目的扫描性能如何?

自研引擎面向超大型代码库设计,支持增量扫描——日常 CI 中仅分析变更部分,在保证片段级检出能力的同时不拖慢流水线。

如何与 CI/CD 集成?

提供 CLI、API 与 Jenkins、GitLab CI 等集成方式,可在流水线中设置风险门禁,超过阈值自动阻断构建,把开源治理内生进研发流程。

其他产品 / More

探索完整产品矩阵

开始治理 / Get Started

让开源,用得安心、合规过关

预约一次演示,看看 CleanSource SCA 如何为你的软件供应链建立完整的成分与合规视图。