新發布SkillSec:把 Skills 安全從惡意檢測,升維到能力審計SkillSec瞭解更多 →
首頁/產品/CleanSource SCA
清源 · CleanSource SCA

CleanSource SCA

軟件成分分析與開源合規治理

看清每一個開源組件,讓開源用得安心、合規過關

憑藉多維探測專利引擎做片段級精準識別,生成完整、準確、可追溯的 SBOM,比對多源漏洞庫並管控許可證風險。

專利引擎
SBOM · 依賴關係
spring-core5.3.31 ✓
log4j-core2.14.1 · CVE-2021-44228
jackson-databind2.9.10 · 待複核
commons-text1.10.0 ✓
許可證GPL-3.0 衝突 ×1
3萬億+
代碼指紋
3.2億
組件信息
27萬+
漏洞情報
600+
語言生態
組件 · 依賴 · 漏洞 — 多源交叉比對CLEANSOURCE SCA
核心能力 / Capabilities

完整、準確、可追溯的開源風險視圖

從組件識別到合規治理,覆蓋開源引入、檢測、修復、管理的全生命週期。

01

多維探測專利引擎

獨有的多維度探測掃描專利技術,快速、全面、準確地分析軟件程序,單文件掃描可達微秒級。

02

片段級精準識別

深入到代碼片段級別識別開源成分,覆蓋直接依賴與間接依賴的完整組件關係。

03

SBOM 生成

以標準 SPDX 或 CycloneDX 格式輸出完整 SBOM,滿足 NTIA 最小元素要求,增強供應鏈透明度。

04

多源漏洞比對

比對 CVE、CNVD、CNNVD、EUVD 與 CSSA 等多源漏洞庫,可定製策略優先級與顆粒度,優先解決最關鍵漏洞。

05

許可證合規治理

精準定位許可證衝突,結合 SBOM 為合規與法律抗辯提供結構化證據,規避知識產權風險。

06

容器鏡像掃描

在源碼之外延伸到容器鏡像層,保障鏡像內開源組件的安全與合規。

精準識別 · 片段級

片段級指紋比對

以代碼指紋與海量組件庫精確比對,識別被複制、裁剪或改名的開源片段,並發現許可證篡改。

片段指紋

對函數/片段生成指紋,不依賴包名聲明。

精確命中

定位到具體組件與版本。

篡改可見

識別許可證與代碼被改動的組件。

代碼片段指紋指紋庫 · 命中openssl 1.1.1精確命中zlib 1.2.11lib-x 2.0許可證篡改!
SBOMSPDX · CycloneDXopenssl1.1.1zlib1.2.11log4j-core2.14CVElibpng1.6.37curl7.79
透明可信 · 物料清單

SBOM 自動生成

掃描即產出標準化軟件物料清單(SPDX / CycloneDX),逐組件標註版本、許可證與已知漏洞。

標準格式

SPDX / CycloneDX 一鍵導出。

逐項可溯

組件、版本、許可證、依賴關係完整。

漏洞關聯

對應已知漏洞直接標註。

漏洞情報 / CSSA

CSSA 獨家漏洞情報
比公開 CVE 早數十天

清源 SCA 的多源漏洞比對,底層由 CSSA(CleanSource Security Advisory)驅動——從上游提交、維護者討論、安全郵件列表與包註冊表行為中主動感知風險,讓你在漏洞成為公共事件之前就完成評估。

超前漏洞感知

從上游提交、維護者討論與安全郵件列表中提前數十天捕獲風險,早於 CVE / CNVD 公開披露。

投毒情報

識別惡意包注入、依賴搶注(typosquatting)、維護者賬號接管等供應鏈投毒,第一時間預警。

AI 供應鏈靶向

覆蓋 MCP Server 與 AI Skills 生態的新型靶向攻擊,把漏洞與投毒情報延伸到 Agent 時代。

CSSA · 漏洞披露時間線
D+0 CSSA 獨家披露上游提交 · 維護者討論 · 投毒模式識別
D+3 投毒情報捕獲惡意包注入 · 依賴搶注 · 賬號接管
D+30+ CVE / NVD 公開其他團隊此刻才開始知曉
集成 / Integrations

無縫接入 SDLC 與 CI/CD 工具鏈

JenkinsGitLab CIGitHub Actions包管理器容器平台API / SDKIDE 插件
輕量起步 / Community

想先輕量體驗?試試社區版

面向 OSPO、個人開發者與中小團隊,清源 SCA 社區版開放 CLI 與部分模塊源代碼,註冊即用。

cleansource-ce · CLI
$ cleansource scan ./my-project
› 解析依賴 ......... 142 components
› 生成 SBOM ........ spdx · cyclonedx
› 漏洞 ............. 3 high · 7 medium
› 許可證 ........... 1 conflict
✓ 報告已生成 · report.html
其他產品 / More

探索完整產品矩陣

開始治理 / Get Started

讓開源,用得安心、合規過關

預約一次演示,看看 CleanSource SCA 如何為你的軟件供應鏈建立完整的成分與合規視圖。