该产品基于SBOM 三个标准SPDX、CDX及SWID进行开源软件检测,专注解决软件研发阶段以及软件供应链中的开源软件安全问题。
ISCA 标准支持
遵循 ISCA 标准,对云原生制品进行深度安全评估,确保检测结果的准确性和可靠性。
SBOM 集成
支持与 SBOM 格式无缝对接,自动解析制品中的依赖关系,全面检测潜在的安全风险。
多维度检测
从镜像文件、容器、Kubernetes 部署等多个维度对云原生制品进行安全检测,确保全方位覆盖。
实时监控与预警
实时监控云原生制品的安全状态,一旦发现潜在威胁,立即发出预警,帮助客户快速响应。
高效性能
采用高效算法和并行处理技术,确保检测过程快速、准确,不影响客户的正常业务运行。
组件识别
通过项目检测功能,调用不同检测引擎分析项目及识别风险。以检测不同语言及文件识别所有开源及三方组件,通过完成OSS物料清单,以确定哪些是易受攻击的组件,哪些是不易受攻击的组件。
漏洞识别及管理
各种漏洞信息来自于多种渠道,支持NVD, CNVD, CNNVD, SCMs(如Github, Gitlab, Bitbucket等), 还有来自流行库上的公共提交,如Bugzilla和Confluence等漏洞追踪器;支持所有流行的开源库。
合规管理
可基于限制性许可条款和特定库名称制定策略,可根据库的使用年限进行策略制定。
可采取的修复建议