全球首个软件供应链安全开源社区OpenSCA

在“软件定义万物”的时代，软件供应链开源化使得各个环节不可避免地受到开源应用的影响，尤其是开源应用的安全性，将直接影响软件供应链的安全性。除开源应用开发者在开发过程中无意识地引入的安全缺陷之外，还可能会存在开发者有目的地预留的安全缺陷，甚至存在攻击者将含有隐藏性恶意功能的异常行为代码上传到开源代码托管平台，以便实施定向软件供应链投毒攻击的安全风险。上述开源应用中存在的众多安全问题，都会导致软件供应链安全隐患大大增加，使得安全形势更加严峻。作为软件供应链开源治理的重要抓手，SCA软件成分分析技术正蓬勃发展，衍生出了不少重要的创新技术分支。

安在了解到，在悬镜安全（访问官网：悬镜安全-DevSecOps数字供应链安全开拓者）十多年为上千家头部企业客户服务实践中发现，SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警的联动能力是决定SCA实践应用效果的的六大关键能力，分别针对不同的应用开发、测试、采购和运营场景，其中特别是源码SCA分析、二进制SCA分析和开源供应链安全情报预警的联动能力，这三项关键能力有着较高的技术关联，在日常的开源风险治理活动中缺一不可。

厚积薄发，做极致好用的SCA产品

2020年以来，开源组件的使用得到了爆发式发展。Gartner报告显示，全球99%的企业在研发应用中使用了开源组件，但同时近九成的软件项目中存在已知开源软件漏洞，其中影响范围最广、破坏力惊人的SolarWinds漏洞事件，让很多企业始料未及，也引起了企业对开源治理的高度重视。

悬镜安全技术合伙人张弛表示，开源软件带来的安全性问题非常多，而SCA在软件成分分析、组件投毒检测、许可证合规风险、漏洞风险、软件代码开源比例检测等方面，都有很好的效果。可以看作SCA软件成分分析是软件供应链安全开源风险治理中最核心的工具，也是软件供应链安全的管理入口。

此外，早在2016年，悬镜安全便开始了第一代SCA产品技术的研发工作，历经4年，2019年开始正式的商业化应用。有了张弛的加入，悬镜第二代源鉴SCA产品的使用体验和都综合能力有了质的飞跃，同时也加速了市场的应用推广节奏。

和悬镜安全创始人子芽所关注的“网络安全的本质是什么？未来的数字供应链安全到底是什么样子的”这些顶层战略思考不同，张弛更多是技术突破的践行者，作为“技术极客”，想得最多的便是通过技术攻关去一一实现，将梦想照进现实。

OpenSCA 开源社区，让梦想照进现实

从2020年7月开始，张弛和团队一头扎进了技术研发当中，针对产品开始夜以继日地突破、打磨、测试、升级，在张弛的带领下，悬镜源鉴SCA几乎保持着每个季度一个大版本，近十个小版本的敏捷迭代，在产品体验、性能表现、核心参数上做到极致。据悉，悬镜最新源鉴SCA已演进到第三代，同时作为悬镜第三代DevSecOps数字供应链安全管理体系中的开源治理环节的新一代数字供应链安全审查和治理平台，同时拥有自研专利级SCA源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力。

当被问及为何短短4年的时间，源鉴SCA有了如此大的突破性变化？张弛坦然表示，这主要归功于两方面因素。一方面极致聚焦，公司和团队的“All in”思想得到充分执行，在SCA技术研发上同时有4个团队在做悬镜六大引擎技术的突破，主要分布在长沙、成都、北京和上海，单点突破，形成业内绝对碾压的产研投入；另一方面，以长沙团队为核心的二进制分析引擎团队凭借自身特殊的技术优势更好的践行了开源供应链安全“第一性原理”，从SCA技术底层入手，放弃过往传统软件工程技术路线，尝试并改造AI大模型在这个领域的算法应用，真正智能化地将组件源代码分析出来，而不是对相关的依赖关系进行剪辑，重构出能够兼容移动应用、智能制造、具身智能等工业应用场景的全新BSCA，在检测精度、覆盖度、支持语言和智能交互上都有了显著提升。

此外，也正是因为“拥抱变化，敏捷迭代”的团队基因以及子芽、宁戈、刘恩炙和张弛等合伙人之间配合的默契度，新一代源鉴SCA开源威胁管控平台在行业内一直饱受好评，多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表，并连续四年在市场应用率位列第一，同时也是国内首批通过供应链安全检测工具类-增强级（编号CSPEC-GGJ 2401001）认证，广泛应用于金融、能源、运营商、智能制造、政企及泛互联网等行业头部客户。

开源创新，用开源的方式做开源风险治理

2021年12月31日，在子芽、张弛、大神、九哥等团队人员的不懈努力下，悬镜安全正式发布全球首个开源数字供应链安全社区OpenSCA，涵盖泛互联网、车联网、金融、能源、信息通信和智能制造等众多行业极客用户，为全球开发者们和广大安全研究人员构筑专注安全开发与开源治理的技术创新实践社区。在张弛看来，打造开源社区本质上是拥抱群智创新，可以更加高效地将个人在系统漏洞挖掘上的技术沉淀转变为智能的SCA分析工具，也算是在继续突破个人瓶颈，践行当初的创业的初心。

当前，OpenSCA社区是国内用户量最多、应用场景最广的开源SCA技术（参考中国信通院《中国DevOps & BizDevOps现状调查报告2024》），通过软件码纹分析、依赖分析、特征分析、引用识别、开源许可合规分析及组件投毒分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。