新发布SkillSec:把 Skills 安全从恶意检测,升维到能力审计SkillSec了解更多 →
首页/产品/CleanSource SCA
清源 · CleanSource SCA

CleanSource SCA

软件成分分析与开源合规治理

看清每一个开源组件,让开源用得安心、合规过关

凭借多维探测专利引擎做片段级精准识别,生成完整、准确、可追溯的 SBOM,比对多源漏洞库并管控许可证风险。

专利引擎
SBOM · 依赖关系
spring-core5.3.31 ✓
log4j-core2.14.1 · CVE-2021-44228
jackson-databind2.9.10 · 待复核
commons-text1.10.0 ✓
许可证GPL-3.0 冲突 ×1
3万亿+
代码指纹
3.2亿
组件信息
27万+
漏洞情报
600+
语言生态
组件 · 依赖 · 漏洞 — 多源交叉比对CLEANSOURCE SCA
核心能力 / Capabilities

完整、准确、可追溯的开源风险视图

从组件识别到合规治理,覆盖开源引入、检测、修复、管理的全生命周期。

01

多维探测专利引擎

独有的多维度探测扫描专利技术,快速、全面、准确地分析软件程序,单文件扫描可达微秒级。

02

片段级精准识别

深入到代码片段级别识别开源成分,覆盖直接依赖与间接依赖的完整组件关系。

03

SBOM 生成

以标准 SPDX 或 CycloneDX 格式输出完整 SBOM,满足 NTIA 最小元素要求,增强供应链透明度。

04

多源漏洞比对

比对 CVE、CNVD、CNNVD、EUVD 与 CSSA 等多源漏洞库,可定制策略优先级与颗粒度,优先解决最关键漏洞。

05

许可证合规治理

精准定位许可证冲突,结合 SBOM 为合规与法律抗辩提供结构化证据,规避知识产权风险。

06

容器镜像扫描

在源码之外延伸到容器镜像层,保障镜像内开源组件的安全与合规。

精准识别 · 片段级

片段级指纹比对

以代码指纹与海量组件库精确比对,识别被复制、裁剪或改名的开源片段,并发现许可证篡改。

片段指纹

对函数/片段生成指纹,不依赖包名声明。

精确命中

定位到具体组件与版本。

篡改可见

识别许可证与代码被改动的组件。

代码片段指纹指纹库 · 命中openssl 1.1.1精确命中zlib 1.2.11lib-x 2.0许可证篡改!
SBOMSPDX · CycloneDXopenssl1.1.1zlib1.2.11log4j-core2.14CVElibpng1.6.37curl7.79
透明可信 · 物料清单

SBOM 自动生成

扫描即产出标准化软件物料清单(SPDX / CycloneDX),逐组件标注版本、许可证与已知漏洞。

标准格式

SPDX / CycloneDX 一键导出。

逐项可溯

组件、版本、许可证、依赖关系完整。

漏洞关联

对应已知漏洞直接标注。

漏洞情报 / CSSA

CSSA 独家漏洞情报,
比公开 CVE 早数十天

清源 SCA 的多源漏洞比对,底层由 CSSA(CleanSource Security Advisory)驱动——从上游提交、维护者讨论、安全邮件列表与包注册表行为中主动感知风险,让你在漏洞成为公共事件之前就完成评估。

超前漏洞感知

从上游提交、维护者讨论与安全邮件列表中提前数十天捕获风险,早于 CVE / CNVD 公开披露。

投毒情报

识别恶意包注入、依赖抢注(typosquatting)、维护者账号接管等供应链投毒,第一时间预警。

AI 供应链靶向

覆盖 MCP Server 与 AI Skills 生态的新型靶向攻击,把漏洞与投毒情报延伸到 Agent 时代。

CSSA · 漏洞披露时间线
D+0 CSSA 独家披露上游提交 · 维护者讨论 · 投毒模式识别
D+3 投毒情报捕获恶意包注入 · 依赖抢注 · 账号接管
D+30+ CVE / NVD 公开其他团队此刻才开始知晓
集成 / Integrations

无缝接入 SDLC 与 CI/CD 工具链

JenkinsGitLab CIGitHub Actions包管理器容器平台API / SDKIDE 插件
轻量起步 / Community

想先轻量体验?试试社区版

面向 OSPO、个人开发者与中小团队,清源 SCA 社区版开放 CLI 与部分模块源代码,注册即用。

cleansource-ce · CLI
$ cleansource scan ./my-project
› 解析依赖 ......... 142 components
› 生成 SBOM ........ spdx · cyclonedx
› 漏洞 ............. 3 high · 7 medium
› 许可证 ........... 1 conflict
✓ 报告已生成 · report.html
其他产品 / More

探索完整产品矩阵

开始治理 / Get Started

让开源,用得安心、合规过关

预约一次演示,看看 CleanSource SCA 如何为你的软件供应链建立完整的成分与合规视图。