軟件成分分析的概念及意義

軟件成分分析Software Compostition Analysis（SCA）是一種用于管理開源組件應用安全的方法。軟件成分分析系統可以快速跟蹤和分析應用軟件的開源組件，發現相關組件、支持庫以及它們之間直接和間接依賴關系，檢測軟件許可證、已棄用的依賴項以及漏洞和潛在威脅。

近年來，針對開源組件的供應鏈安全攻擊急劇增加，開源組件供應鏈安全事件造成的影響更加廣泛和嚴重，因此掌握應用軟件使用的組件底數，摸清組件關聯關系、組件漏洞和風險隱患情況變得至關重要。軟件成分分析系統能夠分析軟件成分，形成軟件物料清單，檢測軟件許可合規問題，發現開源組件漏洞情況，降低由軟件成分帶來的安全和合規風險，提升供應鏈整體安全防護水平。軟件成分分析系統已成為保障關鍵信息基礎設施、重要網絡和信息系統軟件供應鏈安全的重要工具。

《軟件成分分析系統技術規范》主要內容介紹

隨著軟件成分分析系統的市場熱度增高，各網絡安全企業相關產品快速推出搶占市場，導致目前國內市場上軟件成分分析系統能力參差不齊。為確保軟件成分分析系統在功能和安全性上的一致性和有效性，保障軟件成分分析系統能夠發揮其真實作用，公安部第三研究所等保中心（以下簡稱“等保中心”）牽頭編制了《軟件成分分析系統技術規范》，提出軟件成分分析系統的技術要求，并給出相應評價方法，適用于對軟件成分分析系統的檢測評估。

《軟件成分分析系統技術規范》從安全功能要求、自身安全要求、環境適應性要求、安全保障要求四大維度出發，圍繞軟件物料清單管理、軟件成分風險分析、數據安全、通信安全等核心能力指標展開。主要包括：軟件成分識別、漏洞風險分析、投毒風險分析、開源許可合規風險分析、供應鏈連續性分析、集成配置、自身安全和安全保障等內容。本規范的指標分為基本級和增強級，可用于軟件成分分析系統的分級檢測評估。

《軟件成分分析系統技術規范》試用成果

為驗證《軟件成分分析系統技術規范》內容的科學性、合理性和可用性，等保中心對第一批軟件成分分析系統進行了檢測評估，通過軟件成分分析系統檢測評估工作，衡量了各種軟件成分分析系統的檢測能力，規范了軟件成分分析系統的檢測功能，提升了軟件成分分析系統的整體安全技術能力。

已通過檢測評估的SCA系統有：

等保中心將繼續推進供應鏈安全檢測評估工作，進一步完善檢測標準和評估體系，歡迎更多企業積極參與，共同構建安全、可信的軟件供應鏈環境。