看清每一个开源组件,让开源用得安心、合规过关
凭借多维探测专利引擎做片段级精准识别,生成完整、准确、可追溯的 SBOM,比对多源漏洞库并管控许可证风险。
从组件识别到合规治理,覆盖开源引入、检测、修复、管理的全生命周期。
独有的多维度探测扫描专利技术,快速、全面、准确地分析软件程序,单文件扫描可达微秒级。
深入到代码片段级别识别开源成分,覆盖直接依赖与间接依赖的完整组件关系。
以标准 SPDX 或 CycloneDX 格式输出完整 SBOM,满足 NTIA 最小元素要求,增强供应链透明度。
比对 CVE、CNVD、CNNVD、EUVD 与 CSSA 等多源漏洞库,可定制策略优先级与颗粒度,优先解决最关键漏洞。
精准定位许可证冲突,结合 SBOM 为合规与法律抗辩提供结构化证据,规避知识产权风险。
在源码之外延伸到容器镜像层,保障镜像内开源组件的安全与合规。
以代码指纹与海量组件库精确比对,识别被复制、裁剪或改名的开源片段,并发现许可证篡改。
对函数/片段生成指纹,不依赖包名声明。
定位到具体组件与版本。
识别许可证与代码被改动的组件。
扫描即产出标准化软件物料清单(SPDX / CycloneDX),逐组件标注版本、许可证与已知漏洞。
SPDX / CycloneDX 一键导出。
组件、版本、许可证、依赖关系完整。
对应已知漏洞直接标注。
清源 SCA 的多源漏洞比对,底层由 CSSA(CleanSource Security Advisory)驱动——从上游提交、维护者讨论、安全邮件列表与包注册表行为中主动感知风险,让你在漏洞成为公共事件之前就完成评估。
从上游提交、维护者讨论与安全邮件列表中提前数十天捕获风险,早于 CVE / CNVD 公开披露。
识别恶意包注入、依赖抢注(typosquatting)、维护者账号接管等供应链投毒,第一时间预警。
覆盖 MCP Server 与 AI Skills 生态的新型靶向攻击,把漏洞与投毒情报延伸到 Agent 时代。
面向 OSPO、个人开发者与中小团队,清源 SCA 社区版开放 CLI 与部分模块源代码,注册即用。