关于OpenSCA

SCA技术

软件成分分析（Software Composition Analysis, SCA）是Gartner定义的一种应用程序安全检测技术，该技术用于分析开源软件以及第三方商业软件涉及的各种源码、模块、框架和库等，以识别和清点开源软件的组件及其构成和依赖关系，并检测是否存在已知的安全和功能漏洞、安全补丁是否已经过时或是否存在许可证合规或兼容性风险等安全问题，帮助确保企业软件供应链中组件的安全。

通过使用SCA技术快速跟踪和分析项目中引入的第三方开源组件，将开源组件及其直接和间接依赖关系、漏洞信息、开源许可证等信息生成软件物料清单(SBOM)，提供项目软件资产的完整信息，帮助对软件资产进行安全管理。

OpenSCA：用开源的方式做开源风险治理

OpenSCA是SCA技术原理的开源实现。作为悬镜安全 (opens new window)旗下源鉴SCA开源威胁管控产品 (opens new window)的开源版本，OpenSCA继承了源鉴SCA的多源SCA开源应用安全缺陷检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，保障应用开源组件引入的安全。

不同于传统企业版SCA工具，OpenSCA为治理开源风险提供了充满可能性的开源解决方案。它轻量易用、能力完整，支持漏洞库、私服库等自主配置，覆盖IDE/命令行/云平台、离线/在线等多种使用场景，可灵活地接入开发流程，为企业、组织及个人用户输出透明化的组件资产及风险清单。

围绕OpenSCA，我们搭建起了聚集上万开源项目维护者和使用者的全球极客开源数字供应链安全社区，社区涵盖信息通信、泛互联网、车联网、金融、能源等众多行业用户，为万千中国数字安全实践者们构筑起交流的平台与创新的基地。