看清每一个开源组件,让开源用得安心、合规过关
凭借多维探测专利引擎做片段级精准识别,生成完整、准确、可追溯的 SBOM,比对多源漏洞库并管控许可证风险。
从组件识别到合规治理,覆盖开源引入、检测、修复、管理的全生命周期。
独有的多维度探测扫描专利技术,快速、全面、准确地分析软件程序,单文件扫描可达微秒级。
深入到代码片段级别识别开源成分,覆盖直接依赖与间接依赖的完整组件关系。
以标准 SPDX 或 CycloneDX 格式输出完整 SBOM,满足 NTIA 最小元素要求,增强供应链透明度。
比对 CVE、CNVD、CNNVD、EUVD 与 CSSA 等多源漏洞库,可定制策略优先级与颗粒度,优先解决最关键漏洞。
精准定位许可证冲突,结合 SBOM 为合规与法律抗辩提供结构化证据,规避知识产权风险。
在源码之外延伸到容器镜像层,保障镜像内开源组件的安全与合规。
以代码指纹与海量组件库精确比对,识别被复制、裁剪或改名的开源片段,并发现许可证篡改。
对函数/片段生成指纹,不依赖包名声明。
定位到具体组件与版本。
识别许可证与代码被改动的组件。
扫描即产出标准化软件物料清单(SPDX / CycloneDX),逐组件标注版本、许可证与已知漏洞。
SPDX / CycloneDX 一键导出。
组件、版本、许可证、依赖关系完整。
对应已知漏洞直接标注。
清源 SCA 的多源漏洞比对,底层由 CSSA(CleanSource Security Advisory)驱动——从上游提交、维护者讨论、安全邮件列表与包注册表行为中主动感知风险,让你在漏洞成为公共事件之前就完成评估。
从上游提交、维护者讨论与安全邮件列表中提前数十天捕获风险,早于 CVE / CNVD 公开披露。
识别恶意包注入、依赖抢注(typosquatting)、维护者账号接管等供应链投毒,第一时间预警。
覆盖 MCP Server 与 AI Skills 生态的新型靶向攻击,把漏洞与投毒情报延伸到 Agent 时代。
面向 OSPO、个人开发者与中小团队,清源 SCA 社区版开放 CLI 与部分模块源代码,注册即用。
两类 SCA 的差距不在功能列表,而在检测原理:清单级只相信声明,片段级验证事实。解析五大盲区场景、各自的适用边界与一份可操作的选型评估清单。
一文讲清 SBOM 的三种标准格式(SPDX、CycloneDX、SWID)、全球法规要求(美国 EO 14028、FDA、欧盟 CRA、中国金融行业),以及从生成到运营的四步落地路径。
许可证风险的难点不在单个许可证,而在组合:GPL 混入专有代码、Apache-2.0 遇上 GPLv2、声明与文件实际不符……拆解五种最常见的冲突形态与四级处置动作,全部可工程化落地。
CleanSource SCA 采用专利片段级扫描引擎,拥有 3T+ 代码指纹、3.2 亿组件与 27 万+ 漏洞情报库,可识别复制粘贴、部分引用与修改后引用的开源代码,检出率与准确率远超只解析依赖清单的免费工具。
支持 SPDX、CycloneDX 等标准格式的生成与导出,满足美国 EO 14028、欧盟 CRA 等法规对软件物料清单(SBOM)的交付要求。
CSSA 是安势自研的漏洞情报体系,聚合 CVE、CNVD、CNNVD、EUVD 多源数据并进行前置研判,可比公开 CVE 提前数十天获得漏洞预警。
支持 SaaS 与本地私有化两种部署模式,可完全离线运行,满足国央企、金融等行业的数据安全与合规要求。
覆盖主流开发语言与 600+ 包管理生态(Maven、npm、PyPI、Go Modules 等),并支持容器镜像等交付形态的成分分析。
自研引擎面向超大型代码库设计,支持增量扫描——日常 CI 中仅分析变更部分,在保证片段级检出能力的同时不拖慢流水线。
提供 CLI、API 与 Jenkins、GitLab CI 等集成方式,可在流水线中设置风险门禁,超过阈值自动阻断构建,把开源治理内生进研发流程。