搜索中心

该文章是业界最准确的SCA介绍，阅读后可以收获理解这个领域和白盒扫描的区别。 第三方组件安全问题是本质是软件工程，源代码控制问题而不是依赖项管理的安全问题，建立“持续”的信任关系的复杂性具有挑战性。

产品

STORK 软件成分分析平台

蜚语科技

297

0

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分， 更加精确的发现三方漏洞与License风险。

本文首发原作者在CIS 2021的演讲PPT，重点介绍了软件供应链在应用研发过程引入的风险，业界的SCA理念，以及美团安全实际建设过程中遇到的问题和指标体系。

《BinaryAI: Binary Software Composition Analysis via Intelligent Binary Source Code Matching》

BinaryAI升级二进制函数匹配模型BAI-3.0，助力二进制软件成分分析的算法表现显著提升；此外，交互式分析底层引擎完成升级，新增支持MIPS架构，并在GitHub社区发布全新SDK。

二进制代码相似性检测（BCSD），即两个二进制可执行代码的相似性检测，有着广泛的用途，如软件成分分析、恶意软件检测和软件剽窃检测等应用场景。

从被动防御到主动管理,从单点工具到全面平台,从简单扫描到深度分析,软件供应链安全正在经历一场深刻的变革。

产品

奇安信开源卫士

奇安信

347

0

奇安信的开源卫士是一款集成了开源组件识别与安全管控的软件成分分析与管理系统。它通过云端分析中心获取全球开源组件和漏洞信息，提供资产发现、风险分析、漏洞告警和安全管理服务，帮助用户掌握开源组件资产，及时获取漏洞信息，降低安全风险，确保软件交付安全。产品优势包 括自主可控技术、多年技术数据积累和专业漏洞修复服务。

产品

murphysec

墨菲安全

270

0

墨菲安全专注于软件供应链安全，具备专业的软件成分分析（SCA）、漏洞检测、专业漏洞库。

预览

预览

预览

预览

厂商

墨菲安全

415

0

墨菲安全提供专业的软件供应链安全管理解决方案，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，助您打造完备的软件开发安全能力

产品

雳鉴 SCA

默安科技

379

0

雳鉴 SCA 专注解决软件安全开发流程中研发阶段以及软件供应链中的第三方组件安全问题，是默安科技基于软件安全开发生命周期管理的软件成分安全检测系统。

Garter-《软件工程领导者如何降低软件供应链风险》分享

软件供应链安全，是学术界和工业界的共同热点，学术洞见与产业方案双向奔赴，有机会形成根技术和新质产品。

10月13日，金融行业软件供应链安全治理闭门研讨沙龙，分享如何应对金融行业开展开源软件供应链安全治理时普遍会遇到的六大关键挑战

盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。

2023年，约有 78% 的公司使用开源软件，90%的云平台以及区块链项目使用了开源组件进行构建。随着开源软件的广泛使用以及软件供应链安全治理困难，勒索组织有针对性的攻击关键供应商，进而勒索软件供应链下游拥有敏感数据、能够支付高额赎金的组织

10月13日，金融行业软件供应链安全治理闭门研讨沙龙，分享如何应对金融行业开展开源软件供应链安全治理时普遍会遇到的六大关键挑战

软件供应链安全技术交流群（OSCS）第一次线上闭门研讨会实录

展望未来，墨菲安全致力于在网络安全领域，尤其是供应链安全方向的深耕细作。我们的目标是为企业提供易用、专业且创新的软件开发安全解决方案，成为行业中最懂用户需求、产品最佳用的安全服务供应商。

10 月 13 日墨菲安全作为 OSCS 社区创始成员，在中关村创业大街举办了第二届 OSCS软件供应链安全

墨菲安全创始人兼CEO章华鹏受邀参与本次沙龙，并将分享墨菲安全在头部互联网、金融、运营商等行业企业的软件供应链安全实践，包括普遍的痛点问题、应对方案。

展望未来，墨菲安全致力于在网络安全领域，尤其是供应链安全方向的深耕细作。我们的目标是为企业提供易用、专业且创新的软件开发安全解决方案，成为行业中最懂用户需求、产品最佳用的安全服务供应商。

SCA，即软件成分分析（Software Composition Analysis），是一种用于识别、分析和管理软件项目中使用的第三方组件（如库、框架、工具等）的技术。SCA工具帮助开发人员和安全团队了解这些组件的许可证、版本、安全性以及它们对整体应用程序安全性和合规性的影响。

厂商

蜚语科技

302

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

产品

移动应用合规平台

梆梆安全

260

0

梆梆安全科技有限公司的移动应用合规平台，利用自动化技术，全面分析应用行为、权限获取、安全漏洞和合规性，帮助用户发现违规行为，输出合规评估报告。平台支持批量检测，覆盖多项标准，降低合规成本，促进个人信息保护，提升App合规生态治理。

产品

灵脉IAST

悬镜安全

362

0

悬镜安全的灵脉IAST是一款集成深度学习技术的灰盒安全测试平台，致力于DevSecOps全流程中的安全能力左移前置。它结合SAST与DAST的优势，实现低误报、高检出率，支持多源SCA分析和容器镜像扫描，简化流程融合，助力企业高效实践DevSecOps。

产品

病毒分析服务

江民科技

235

0

江民科技提供全面的病毒分析服务，旨在迅速识别和应对病毒攻击，最小化损害。服务包括及时响应、深入分析、专业团队支持和定制化解决方案。相关产品涵盖应急响应服务和安全培训，确保客户安全需求得到满足。

产品

代码审计服务

华顺信安

281

0

华顺信安的代码审计服务采用工具扫描与人工分析，深入挖掘源代码中的安全漏洞和编码问题。服务覆盖系统框架、源代码设计、错误处理、对象引用、资源滥用和API调用等方面，通过审计准备、实施、复测和成果汇报等流程，确保代码安全性，满足合规要求和企业安全建设需求。

产品

观安主机安全防护系统

观安

276

0

主机安全防护系统支持多种云平台及服务器架构，部署便捷。产品以软件形式交付，配置及操作简单，同时具备较高的监测精度。产品向企业的运维和安全管理人员提供了安全管理海量服务器的能力，降低运维成本，在较低的安全专业知识背景下，也能极大地提高企业的安全防护能力。

产品

雳鉴 SAST

默安科技

263

0

雳鉴SAST专注解决软件安全开发流程中开发阶段或上线前的代码安全问题。

产品

源鉴SCA

悬镜安全

274

0

悬镜源鉴SCA是一款创新的开源数字供应链安全审查与治理平台，采用先进的多源SCA技术，精准识别并分析软件开发中的开源组件，深度挖掘潜在安全漏洞和开源协议风险，为企业提供全面的开源治理解决方案。

产品

漏洞扫描

启明星辰

411

0

启明星辰的天镜脆弱性扫描与管理系统是一款自主研发的漏洞扫描产品，专注于网络脆弱性分析、评估与管理。它具备资产发现、多引擎分布式部署、实时更新漏洞库等功能，支持IPv4/IPv6双协议栈，依托ADlab的权威漏洞知识库，为用户提供全面、持续的安全保障。

产品

雳鉴 IAST

默安科技

320

0

默安科技雳鉴 IAST 专注解决软件安全开发流程中测试阶段或上线阶段的应用安全问题。

产品

奇安信数据库防火墙

奇安信

262

0

奇安信数据库审计与防护系统是一款高效的数据库安全防护产品，通过实时监控和分析网络数据包，采用身份鉴别和行为分析技术，有效识别 并阻断异常访问和SQL攻击，保障核心数据安全。产品具备双机热备、软/硬件Bypass、多因子认证等高级功能，支持广泛的数据库类型，实现细粒度访 问控制和全面策略体系，确保高可靠性和易用性。

产品

奇安信 WAF

奇安信

356

0

奇安信的Web应用防火墙是一款专注于网站和应用系统安全的产品，通过分析和拦截HTTP/HTTPS的Web攻击行为，有效降低网络安全风险。它具 备自适应网络、细粒度防御、网页防篡改和统计报表等功能，同时拥有态势感知展示和智慧Web应用防火墙的优势，支持移动终端管控，为网站安全提供全面保护。

产品

源代码审计平台

爱加密

261

0

爱加密的源代码审计平台是一款专业的安全分析工具，通过先进的安全漏洞检测规则，全面挖掘源代码中的安全漏洞、性能缺陷和编码问题。支持多种开发语言，能够检测约1000种漏洞，帮助开发人员提升代码安全性，减少安全风险。

厂商

天融信

494

1

天融信是上市公司中成立最早的网络安全企业，亲历中国网络安全产业的发展历程，如今已从中国第一台商用防火墙的缔造者成长为中国领先的网络安全、大数据与云服务提供商。

产品

奇安信天眼

奇安信

1.2k

1

奇安信的威胁监测与分析系统（天眼）是一款以攻防渗透和数据分析为核心的安全产品。它利用网络流量和终端EDR日志，结合威胁情报、规则引擎、文件虚拟执行和机器学习等技术，精准识别并响应已知和未知的高级网络攻击。系统通过本地大数据平台存储和查询流量日志与终端日志，实现 事件的深入分析、研判和回溯。同时，天眼结合边界NDR、终端EDR和自动化编排处置功能，能够及时阻断威胁，保障网络安全。

产品

天清汉马数据防泄露系统

启明星辰

303

0

启明星辰的天清汉马USG数据防泄露系统（DLP）是一款自主研发的敏感数据保护产品。它通过分析数据内容、所有者和操作行为，提供直观视图，帮助管理者实时监控和保护企业敏感信息，防止数据泄露，确保信息安全。系统具备多层文档识别、多维智能检测和集中管理分析等技术优势，适用于多种行业，有效避免法律和商业风险。

厂商

CrowdStrike

297

0

CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一

厂商

青藤云安全

401

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

产品

数据库静态脱敏

启明星辰

275

0

启明星辰推出的天玥网络安全审计系统V6.0-数据库脱敏系统（DBMasking），是一款集数据抽取、敏感信息自动发现、脱敏、装载于一体的管控平台。它通过高性能脱敏技术、高仿真脱敏结果、不可逆算法，自动识别敏感数据，保障用户信息安全，满足法规要求，适用于多种数据使用场景。

产品

入侵防御IPS

启明星辰

309

0

启明星辰的天清NGIPS是一款自主研发的网络型入侵防御系统，以深层防御和精确阻断为核心，通过深入分析网络流量，实时发现并阻断各类网络攻击，有效保护用户网络安全。产品具备集中管理、高可靠性、应用控制、内容过滤、病毒防护和威胁防御等技术优势，广泛应用于政府、金融等行业，连续多年市场占有率领先。

厂商

恒安嘉新

258

0

提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品，服务于产业互联网的科技工程企业，5G 时代的大数据智能运营专家

厂商

迪普

338

0

迪普科技 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。

厂商

江民科技

314

0

江民科技，作为终端安全守护者，致力于网络安全技术的创新与发展

厂商

铱迅

209

0

南京铱迅信息技术股份有限公司（股票代码：832623。简称：铱迅信息，英文缩写：YXLink）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感，自主研发，努力创新，以“让客户更安全”为理念，致力成为在网络安全领域具有重要影响的企业。

厂商

吉大正元

205

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

中科网威

198

0

北京中科网威信息技术有限公司成立于1999年，前身是中科院1996年成立的网威安全工作室。

厂商

海云安

262

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

开源网安

218

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

厂商

任子行

190

0

任子行立志于围绕国家在网络空间治理和网络安全保障方面的战略需求，从网络犯罪治理、信息安全治理、网络安全治理三大领域入手，突破网络空间安全治理支撑性关键技术。

厂商

亿赛通

232

0

亿赛通是美创科技旗下的数据安全品牌，专注于提供数据安全解决方案，包括但不限于数据加密、数据防泄露、数据安全服务。

厂商

安华金和

261

0

安华金和提供专业的数据安全解决方案、咨询服务和切实可落地的安全技术和产品应用，产品涉及数据库审计、数据库防火墙、数据脱敏与漏洞防护、数据库加密、数据安全运营等

厂商

闪捷信息

199

0

是一家专注数据安全的高新技术企业。

厂商

深信服

472

0

深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品、服务和解决方案供应商，致力于让每个用户的数字化更简单、更安全

厂商

海泰方圆

200

0

北京海泰方圆科技股份有限公司是一家以密码全能力和可信数据治理为核心，全面服务于网信大时代的领军安全企业。

厂商

四叶草安全

566

0

西安四叶草信息技术有限公司（简称：四叶草安全）是一家实战创新型网络安全企业，由马坤创办于2012年。

EASM，即外部攻击面管理（External Attack Surface Management），是一种网络安全实践，专注于发现和评估面向互联网的企业资产和系统，以及与之相关的安全漏洞。这些资产可能包括服务器、凭证、云服务配置错误、第三方合作伙伴的软件代码漏洞等，它们都可能成为攻击者利用的切入点

反病毒软件，也称为杀毒软件或防病毒程序，是一种用于检测、预防、清除恶意软件（如病毒、蠕虫、特洛伊木马、勒索软件等）的计算机安全程序。杀毒软件是保护计算机系统和网络安全的重要组成部分。

SDP（Software Defined Perimeter，软件定义边界）是一种基于零信任（Zero Trust）理念的网络安全技术架构。SDP由国际云安全联盟CSA（Cloud Security Alliance）于2013年提出，旨在应对传统网络安全模型无法适应不断变化的网络威胁和新兴技术挑战的问题。

SD-WAN，即软件定义广域网（Software-Defined Wide Area Network），是一种新兴的网络技术，它使用软件来管理广域网（WAN）的连接和传输，而不是传统的硬件路由器或防火墙。SD-WAN的核心在于将网络控制从物理设备中抽象出来，使网络更加灵活、可编程和集中管理。

代码审计（Code Auditing）是一种评估软件源代码质量、安全性和合规性的过程。它通常由专业的审计人员或自动化工具进行，目的是发现潜在的错误、漏洞、不规范的编码实践以及不符合特定标准或安全策略的代码。

SAST，即静态应用程序安全测试（Static Application Security Testing），是一种分析方法，用于在软件的开发阶段自动检测源代码中的安全漏洞和编码问题。SAST工具通常在软件开发生命周期（SDLC）的早期阶段集成，以便在代码被部署到生产环境之前发现潜在的安全问题。

网闸（又称为网络安全隔离系统或数据交换隔离系统）是一种硬件或软件设备，用于在两个或多个网络之间提供逻辑或物理上的隔离，同时允许安全的数据交换。网闸的主要目的是在不同的安全域之间创建一个安全的数据传输通道，防止未授权的数据访问和网络攻击的传播。

模糊测试（Fuzz Testing），也称为模糊验证或模糊分析，是一种自动化的软件测试技术，用于发现软件中的安全漏洞和错误。这种方法通过自动生成大量随机的、异常的或半异常的输入数据（称为“模糊数据”或“模糊输入”），并将这些数据输入到程序中，观察程序是否能够正确处理这些输入，或者是否会因此产生崩溃、异常行为或其他安全问题。

上网行为管理（Internet Behavior Management，简称IBM）是一套用于监控、控制和分析组织内用户上网行为的解决方案。这种管理通常由专门的软件或硬件实现，目的是确保网络使用的合规性、安全性和效率。上网行为管理对于维护网络安全、提高生产效率、防止法律风险和保护组织声誉至关重要。通过有效的上网行为管理，组织可以减少内部威胁、避免数据泄露，并确保员工遵守网络安全最佳实践。

AD，即Application Delivery（应用交付），是指确保应用程序能够高效、安全、稳定地交付给用户使用的过程。应用交付解决方案通常由一系列的硬件和软件组成，包括负载均衡器、内容交付网络（CDN）、DDoS防护系统、WAF（Web应用防火墙）、API网关等。这些工具和服务共同工作，以确保应用程序的高效交付和稳定运行。随着云计算和DevOps实践的普及，应用交付也在不断地向自动化、智能化和云原生方向发展。

供应链安全是指保护整个供应链过程中的网络安全和数据完整性的措施和策略。供应链不仅包括物理商品的流动，也包括软件、服务和数据的流动。供应链安全的目标是确保供应链的每个环节都尽可能安全，防止潜在的安全威胁和风险，如数据泄露、知识产权盗窃、恶意软件注入、产品篡改等。

IAM，即Identity and Access Management（身份识别与访问管理），是一种安全框架，用于确保正确的人员或系统能够获得对适当资源的访问权限。IAM系统可以是独立的软件解决方案，也可以集成到其他IT系统中，如企业资源规划（ERP）系统、客户关系管理（CRM）系统或云服务。IAM的最佳实践包括最小权限原则、定期的访问审查、使用加密保护敏感数据、以及为用户提供安全意识培训。随着技术的发展，IAM也在不断地向自动化、智能化和云原生方向发展。

SOAR，即安全编排、自动化和响应（Security Orchestration, Automation and Response），是一种软件解决方案，旨在帮助安全团队集成和协调各种单独的安全工具，自动执行重复性任务，并简化事件和威胁响应工作流程。

安全开发生命周期（Security Development Lifecycle）：这是一种从安全角度指导软件开发过程的管理模式，由微软公司提出并实践。SDL 将软件安全考虑集成在软件开发的每一个阶段，包括需求分析、设计、编码、测试和维护。它的核心理念是提前预防安全问题，减少安全漏洞，降低开发成本。Microsoft 的SDL流程包括七个组件，五个核心阶段（要求、设计、实现、验证、发布）和两个支持安全活动（培训和响应），每个阶段都包含强制性检查和批准，以确保满足所有安全和隐私要求以及最佳做法 。

容器安全（Container Security）是指一系列措施和实践，旨在保护容器化应用程序及其运行环境免受安全威胁和漏洞的影响。容器是一种轻量级、可移植的、自给自足的软件运行环境，它可以包含应用程序及其所有依赖项。容器技术，如Docker，以及容器编排工具，如Kubernetes，已经被广泛应用在云计算和微服务架构中。

IAST，即交互式应用安全测试（Interactive Application Security Testing），是一种在应用程序运行时进行的灰盒安全测试技术。它结合了SAST（静态应用安全测试）和DAST（动态应用安全测试）的优点，通过在应用程序内部植入探针，在运行时动态地监测和报告安全漏洞。IAST技术可以实时、准确地检测软件安全漏洞，并提供详尽的漏洞信息，帮助企业提升应用安全性。

入侵检测和防御系统（Intrusion Detection and Prevention System）是一种网络安全技术，结合了入侵检测系统（IDS）和入侵防御系统（IPS）的功能。IDP系统能够监控网络流量和系统活动，检测潜在的恶意行为或攻击，并且与IPS一样，能够采取措施来防御或阻止这些攻击。IDP系统可以是硬件、软件或云服务，通常部署在网络的关键点，以保护组织免受未经授权的访问和其他安全威胁。

等保一体机是一种软硬一体化的网络安全产品，专门为满足网络安全等级保护（简称等保）的要求而设计。它通过集成多种安全功能，帮助组织从物理安全、网络安全、主机安全、应用安全、数据安全等多个层面进行体系化的等保建设，提高安全运维效率，简化安全设备的部署和运维管理 。