6月20日，由安全牛编撰的《软件成分分析（SCA）技术应用指南》报告（以下简称《指南》）正式发布，该报告基于国内SCA能力的市场供给情况、技术实现及工具成熟度进行调研，围绕SCA工具的功能特性、应用挑战、选型指导、场景实践等进行研究和分析，为企业SCA的普及和有效落地提供参考。安天入选《指南》代表性厂商，“安天SCA软件组成分析的产品化解决方案”入选典型应用案例。

安天融川软件组成分析系统（简称“AntiySCA”）是安天自主研发的面向软件产品全生命周期的安全开发监测及安全风险全链路管控和治理的关键产品，依托强大的漏洞排查能力以及多维度组件识别与分析方法，在开发阶段能够及时排查不安全的组件漏洞，降低开源组件、开发和构建工具等漏洞对供应链造成污染。在编码实现和测试交付阶段，AntiySCA能够识别代码库中的开源软件，分析组件间直接或间接依赖关系，同时可以溯源历史漏洞及相关漏洞信息并提供相关组件漏斗的修复建议。

在报告发布会上，安天发表《安天融川软件组成分析系统助力网络安全提质增效》主题演讲，在汇报中安天指出：

安天SCA内置强大的漏洞数据库，不仅覆盖NVD、CNNVD的漏洞数据，还具备大量的私有高质量漏洞数据库，还能够覆盖服务器定时扫描、软件包漏洞持续检测、软件开发等多种场景。同时具备强大的开源组件识别能力，支持20多种常用语言，具备高质量外部及内部私有漏洞库。并支持源码工程、IoT固件、二进制可执行文件、以及常见的压缩文件，和软件物流清单国际标准格式如SPDX、CycloneDX、SWID的物料清单。

安天物联网行业案例入选《指南》

1.解决方案

从根本上解决某物联网企业系统安全性问题，安天依据代码安全及文件深度分析能力优势，从软件开发和项目监管两个层面着手，为该企业提供了SCA软件组成分析的产品化解决方案。

系统框图

在该项目中，安天将开源代码仓库GitLab工程和项目组进行了集成，并在此基础上进一步提供IDE插件、上传扫描、CI/CD接入等多种扫描方式，模拟真实的软件构建流程，提高了研发人员软件安全的响应速度。同时，安天提供项目维度的安全监管趋势，高发漏洞类型一目了然，有助于项目管理人员及时了解项目安全状况。

安天用DevSecOps最佳方法来重塑软件开发方法，缩短新软件从规划到生产的平均时间，提高软件新发布和补丁在生产环境中部署的频次，有效避免运行故障，实现全自动化风险管理，并将安全属性内嵌入软件系统中，为软件提供有效的防护和加固，能够及时应对安全威胁。同时，改变软件研发的组织文化，采取整体灌点，共担软件开发、安全和运维责任，提高软件全生命周期的团队沟通和协作效率。

2.方案优势

• 支持源码文件扫描，采用分析工具和专业人工审查，对系统源代码进行全面细致的安全审查，从根本上解决系统可能存在的漏洞、后门等安全问题；

• 支持二进制文件jar文件、elf文件的解析，利用码文、CFG图级别识别其中的已知漏洞，满足用户对上游SDK扫描的需求；

• 与用户开发环境中私有的Nexus镜像、CI/CD环境相结合，快速排查代码中的漏洞，并持续跟踪和统计项目中的组件安全问题，为后续安全开发奠定基础。

3.用户价值

• 清晰化软件供应链风险：

基于强大的二进制可执行文件、固件的组件分析和漏洞分析能力，帮助用户识别、分析和处置上游软件制品的成分安全问题。

• 开发效率与安全两不误：

帮助用户构建软件安全开发流程，从成本效益方面权衡了软件开发的效率和安全。

• 提升开发过程安全响应速度：

支持模拟真实的软件构建流程，加强了过程中对软件成分的管控，帮助用户研发人员提高开发过程中的安全响应速率。