源鑒SCA4.9︱多模態SCA引擎重磅升級，開源風險深度治理能力再次進階

SCA技術已成為數字供應鏈開源治理的關鍵入口。源鑒SCA深度融合懸鏡原創專利級AI智能代碼疫苗技術，是國內首款集源碼組件成分分析、代碼成分溯源分析、制品成分二進制分析、容器鏡像成分掃描、運行時成分動態追蹤及開源供應鏈安全情報預警分析等六大核心引擎為一體的多模態SCA新一代數字供應鏈安全審查與治理平臺。

懸鏡下一代SCA開源供應鏈風險審查技術（六大分析引擎）

本次源鑒SCA4.9版本重磅升級，針對用戶需求和國內外傳統SCA技術的瓶頸全面突破，不僅追求功能的全面性，更注重業務便捷性和安全性。SCA4.9擁有更強大的檢測能力，深入全方位洞察安全風險；更豐富的知識庫，詳實了解各軟件項目組件情況；更及時的情報預警服務，全面守護企業數字安全......

二進制引擎

1.新增鴻蒙移動應用檢測能力?強化國產生態安全可控

隨著鴻蒙系統在政務、工業、IoT終端的快速推廣，越來越多的政企客戶在開發國產應用時需確保其軟件成分符合國產化安全要求。

源鑒SCA 4.9支持對基于HarmonyOS平臺構建的移動應用（.hap）進行二進制成分識別與安全風險分析。該功能強化了國產生態下的安全保障能力，幫助客戶在鴻蒙生態中實現SBOM管理與合規審計，滿足《國產替代政策》《電子政務信息系統國產化改造指南》等政策中“安全可控”的核心訴求。

2.新增多種固件格式滿足嵌入式產品安全檢測

為滿足《關鍵信息基礎設施安全保護條例》中要求關基運營者采購“安全可信的網絡產品”，固件作為硬件設備的核心軟件，需納入安全審查范圍。

源鑒SCA 4.9 新增openwrt、UF2（USB Flashing Format）、Flattened uImage Tree (FIT) Images等固件格式，適用于路由器、醫療設備、工業控制器等嵌入式產品的安全檢測。在設備出廠前或第三方供應鏈交付時，對企業固件進行合規性審查。

3.惡意文件、編譯選項檢測雙功能識別潛在惡意行為

在CI/CD流程中，或在第三方交付環節，需及時識別是否存在潛在惡意行為或構建不規范的情況。源鑒SCA 4.9新增惡意文件、編譯選項檢測能力，支持識別使用危險編譯選項或被植入惡意文件（如木馬、后門）的可疑二進制文件，幫助客戶識別潛在供應鏈攻擊行為。

源碼引擎

1.填補小眾語言盲區全棧代碼分析無死角

源鑒SCA 4.9新增D、Fortran、Julia、Elm、Haxe等檢測語言支持，Fortran與Julia在高性能計算（HPC）與科學模擬領域具有廣泛應用，而Elm和Haxe則活躍于前端創新框架。許多此類項目屬于國家關鍵基礎設施范疇，對軟件供應鏈安全有嚴格要求。

本次升級將填補小眾語言檢測盲區，通過對這些語言的支持，客戶可實現對全棧代碼的安全成分分析，避免因語言覆蓋盲區導致的漏洞和合規風險遺漏。

2.加密算法、敏感函數檢測雙加持提前規避合規風險

在金融、電信、政務等對加密強度有嚴格規定的行業中，需識別是否存在使用過時、弱加密算法（如MD5、DES）或非法調用敏感函數的行為。在應用出海或對外合作場景中，也需滿足歐盟GDPR和美國ITAR等法規對敏感數據處理的合規要求。

源鑒SCA 4.9新增對項目中使用的加密算法（包括對稱、非對稱、哈希）和敏感函數（如攝像頭監控、鍵盤監控等）的識別能力。幫助客戶發現不符合《密碼法》《數據出境安全評估辦法》《GB/T 39786-2021 信息安全技術信息系統密碼應用基本要求》等標準的加密實現，提前規避因算法不合規而產生的合規審查風險或數據泄漏事件。

3.支持私服庫增量檢測?保障私服庫組件安全可控

企業內部構建系統（如使用Nexus、Artifactory等私有倉庫）中的組件更新頻繁，需高效檢測新增包。源鑒SCA 4.9新增對企業私有倉庫中組件變更的增量檢測能力，支持快速檢測新增上傳的包或版本。通過私服庫增量檢測可提升增量檢測效率，保障私服環境下的組件安全可控，滿足企業內部DevSecOps流程自動化要求。

同源引擎

1.檢測語言大幅增加實現復雜系統成分全覆蓋

源鑒SCA 4.9 同源引擎新增支持C、C++、Java、PHP、Go、Python、Lua、JavaScript、TypeScript、Rust、C#、CSS、Shell、Haskell、HTML、Julia、Ruby、Scala、Assembly、Clojure、D、Dart等共84種語言。適用于多語言開發項目（如AI平臺、IoT系統、復雜信息系統）中統一進行組件識別和溯源分析。實現對復雜系統的成分全覆蓋，避免語言盲區導致的風險遺漏。

2.擴充開源項目及收錄渠道數量

為更全面覆蓋主流及長尾開源社區，提升開源項目識別率。

源鑒SCA 4.9新增開源項目來源收錄Apache、Archlinux、Freebsd、Gitee、Github、GNU、OpenHarmony、QT、Sourceforge、Ubuntu、X11等30余種渠道，覆蓋80+開發語言。

鏡像引擎

1.支持虛擬機鏡像檢測?實現鏡像中成分全棧識別

政企、科研云平臺中使用虛擬鏡像部署系統，需對虛擬機鏡像的軟件包成分進行安全成分分析。源鑒SCA 4.9新增VMDK、IMG、QCOW2、QCOW等格式的虛擬機鏡像檢測，實現對鏡像中軟件包及組件的全棧識別，滿足合規審計和鏡像發布前的安全評估需求，降低部署系統成分不明的風險。

風險治理能力全面提升

1.新增深度許可版權檢測、許可版權篡改分析

源鑒SCA 4.9深入掃描被測項目中的許可文本、代碼文件，識別自研文件是否有未聲明的許可證和版權片段，以及識別許可或版權是否被人為篡改，支持溯源文件位置及代碼行號，避免可能發生的合規糾紛。

使用場景：
適用于軟件發行、SaaS平臺等企業在產品發布前進行合規性聲明。

客戶價值：
識別非法修改的許可證信息，避免引發訴訟或商用侵權風險。

2.供應鏈情報深度優化???

（1）源鑒SCA 4.9漏洞情報字段進一步豐富，漏洞詳情新增CVSS4.x評分、EPSS評估、漏洞本身的影響廠商及產品類型信息、CPE等，

（2）支持配置預警策略及推送渠道，當情報風險更新時，自動分析已檢測的歷史SBOM資產是否受影響，對于符合預警策略的新情報，實時向郵件、飛書、釘釘、企業微信、webhook等通信渠道推送風險預警，支持導出命中SBOM分析報告。

使用場景：
企業希望在新情報發布第一時間了解哪些資產受影響，并導出報告用于團隊分析。

客戶價值：滿足《等保2.0》“持續監測、快速響應”的安全運營要求，提升SBOM資產風險閉環能力。

（3）支持區分國產組件?便于國產化率評估

源鑒SCA 4.9可識別國產開源組件來源，便于客戶做國產化率評估。

使用場景：適用于政企客戶國產化改造項目，對國產組件進行安全與合規性評估。

客戶價值：輔助國產替代評估工作，滿足政策對“可信、可控”的要求，提升國產軟件選型的透明度。

3. 漏洞可達引擎深度優化

源鑒SCA 4.9優化了白盒檢測引擎以及可達匹配邏輯，漏洞可達檢出數量大幅增加

對于源鑒SCA，需要客戶關注的可達漏洞類型，包含“外部可達”、“可達”，這兩個都是被測項目里真實調用了漏洞函數，需優先關注；“外部可達”是指該漏洞可與外界交互，危害性比“可達”大。

示例：該漏洞可達類型為“外部可達”,XStream.fromXML()?的漏洞本質是反序列化過程缺乏類型安全控制，當輸入數據來自外部（用戶、網絡）時，攻擊者可構造惡意 XML 實現遠程代碼執行（RCE）,并且存在從入口函數到漏洞函數的調用鏈路，所以是外部可達。

客戶價值：有效收斂風險修復面，提升漏洞修復效率。

產品易用性再次升級

1.一鍵生成合規報告滿足安全報告可視化、可審計要求

源鑒SCA 4.9可對項目下所有檢測場景的應用，導出整合后的監管報告。覆蓋軟件成分分析結果、二進制軟件基因安全技術分析結果、容器鏡像安全技術分析結果；滿足合規檢查工具箱的快速報告生成。

使用場景：適用于政府審計、第三方合規檢查、客戶交付等場景。

客戶價值：支持一鍵生成合規報告，滿足企業對“安全報告可視化、可審計”的要求，降低合規成本。

2.支持自定義私有組件庫

源鑒SCA 4.9支持設置私有組件庫和自定義私有組件漏洞信息，若應用檢出私有組件，會在私有組件庫中查詢私有組件信息補充至檢測結果中。

使用場景：
企業內部有自研組件，需統一納入供應鏈成分分析與漏洞管理體系。

客戶價值：
提升對自研組件安全的治理能力，滿足企業對“私有代碼安全可追蹤”的治理要求。

3.支持任務隊列管理

源鑒SCA 4.9允許用戶根據需要停止或置頂隊列中檢測任務的順序，確保高優先級任務能夠獲得更快的處理。

4.界面及報告支持展示被測應用的MD5

使用場景：用于交付物唯一性驗證、合規審計、取證分析等場景。

客戶價值：滿足《軟件交付安全規范》中對版本一致性和完整性驗證的技術要求。

擴展集成配置能力增強

·新增對接Azure DevOps Server（TFS）代碼倉庫

·新增對接簡單云制品庫

·新增對接Oauth2.0單點登錄

end

懸鏡安全源鑒SCA多次被Gartner、Forrester等國際權威咨詢機構評為SCA技術代表，并連續四年在市場應用率位列第一，同時也是國內首批通過供應鏈安全檢測工具類-增強級（編號CSPEC-GGJ 2401001）認證，通過中國信通院可信開源治理工具能力檢驗認證、中國軟件測評中心軟件源代碼開源檢測評估、工業和信息化部第五研究所（中國賽寶實驗室）信創功能性和兼容性測試認證等，能夠深度挖掘數字應用及運行環境中潛藏的各類開源風險并提供實時精準的數字供應鏈安全情報預警能力，幫助企業從引入源頭、開發過程、運行監控、管理多維度閉環治理開源威脅，廣泛應用于金融、智能制造、電信運營商、能源、汽車電子、政企及泛互聯網等1000+頭部用戶。

此外，懸鏡安全憑借在項目建設實踐中積累的原創專利級AI智能代碼疫苗技術、全球獨有的多模態軟件成分分析（SCA）技術、全球首個數字供應鏈安全情報預警技術、AI大模型智能代碼分析技術和可靠的第四代DevSecOps數字供應鏈安全產品體系及豐富的智能制造、金融、電信運營商、能源、汽車電子、政企、泛互等行業用戶落地實踐，主導或參與了已完成發布標準包括：軟件供應鏈安全、DevSecOps敏捷安全、開源治理、積極防御、安全運營等細分類別網絡安全產品、服務等能力評價標準的制定，如《網絡安全技術軟件供應鏈安全要求》、《網絡安全技術軟件產品開源代碼安全評價方法》、《軟件供應鏈安全服務機構能力要求》、《軟件成分分析（SCA）知識庫總體技術要求》、《軟件物料清單工具能力要求》等重要國家標準10余項、行業標準30余項和團體標準10余項的研制工作，正在主導和參與的在研標準累計包括40余項國家標準、行業標準和團體標準，進一步促進了我國信息安全產業的健康和規范化發展。