联系电话:
021-68580866
在当今高速发展的软件开发领域,开源软件的采用已呈现爆炸式增长,并已成为构建应用程序的核心支柱。开源软件的广泛应用显著提升了开发效率,然而,这种便利性伴随着诸多严峻的挑战:开源软件种类繁多的许可证带来的合规隐患、开源软件中包含的未修复的已知安全漏洞所引入的安全风险、以及开源组件复杂的依赖关系造成研发/审计团队对所使用的第三方开源代码的可见性的缺失等。此外,人工智能编码助手正在成为软件开发主流,研发团队必须在采用这些AI生成的代码前准确识别属于开源软件组件的代码片段,以避免其造成的安全、版权和许可证合规风险。因此,现代化的软件研发团队都需要一款优秀的软件成分分析(Software Composition Analysis, 简称:‘SCA’)软件。
FossID是全球领先的软件成分分析和开源治理工具,2016年发源于瑞典学术研究项目,专注于解决传统SCA工具在代码片段检测和许可证识别中的技术瓶颈。随着开源合规与安全检测需求激增,FossID凭借其专利的指纹扫描技术快速崛起。FossID主要面向对精准检测要求极高的企业和科研院所,尤其擅长应对碎片化代码、AI自动生成的代码片段、混合许可证及自定义组件场景等。FossID为您提供检测、识别和治理代码库中第三方软件的工具。FossID以“深度可见性” 为核心,为企业提供开源风险的终极透视能力,尤其适合需应对强监管(如智能设备、汽车电子、医疗器械、金融和半导体等)或拥有大量遗留代码的客户,是构建可信软件供应链的关键基础设施,帮助您更快地交付安全合规的软件。
核心价值
-
全面识别企业代码库中的开源组件和开源代码片段
-
深度检测许可证冲突、安全漏洞及代码质量隐患
-
管控开源软件使用风险并保障法规合规性
-
避免因开源软件侵权造成的法务诉讼损失
-
构架软件物料清单(SBOM)保障供应链透明和安全
-
集成软件全生命周期(SDLC)加速开发和交付流程
-
适应AI时代以便安全采用人工智能生成的代码
优势和亮点
-
FossID全面识别所有开源组件和深层依赖关系
-
基于FossID专利的代码指纹识别技术可深度检测开源代码片段
-
对非托管代码片段的检测可支持任何编程语言
-
FossID提供业界领先的对AI生成代码的检测能力
-
“盲扫描”技术保证被检测代码的知识产权和隐私性
-
FossID支持文件和文件夹级别的许可证分析和提取
-
FossID支持统一的策略管理保证企业开源治理的一致性
-
生成符合NTIA标准的软件物料清单(SBOM)
-
自动生成法规和许可证合规报告
-
超低的误报率
-
支持对超大规模代码库的检测
-
FossID支持全面集成SDLC和左移测试
-
集成CI/CD流水线以支持自动检测、门控和通知流程
-
FossID提供完整的RESTful API支持定制工作流程
-
支持集成Jira, ServiceNow等第三方管理系统
-
支持SaaS, 混合和本地私有化多种部署模式
-
FossID提供丰富且完整的知识库并持续更新
-
知名、成熟且国际认可度高
主要功能
-
检测覆盖范围
-
识别代码来源
-
开源治理和SBOM
-
集成和可扩展性
-
部署选项
-
“盲扫描”技术
-
知识库
-
检测覆盖范围 FossID支持广泛的检测覆盖范围。FossID结合多层检测技术,能够发现您代码中所有第三方软件,无论其是通过何种方式被引入的:
● 依赖关系分析
对于托管代码,全面分析包清单中的所有直接和传递依赖关系。● 源代码扫描
对于非托管代码,利用专利的指纹识别技术深度扫描代码,准确识别所引用的开源软件,不限编程语言。● 代码片段检测
精准定位嵌入在源代码中的被复制的或AI生成的开源库片段。
-
识别代码来源
利用深度上下文分析技术,FossID可以自动识别大部分来源、许可证和风险的上下文信息,因此您可以专注于修复问题,而无需人工猜测识别信息。
● ID Assist
一个强大的建议引擎,使用特殊的评分、分组和过滤智能技术,通过提供准确的识别信息来加速和简化审核流程。● 许可证提取器
自动从文件级别检测并提取许可证文本,即使这些文本是在修改过的或混合的许可证代码中,以聚合成可信的许可证通知文件。● 漏洞代码片段查找器
利用FossID细颗粒度的代码片段检测来精确定位与CVE相关的易受攻击的代码块,以便洞察代码的安全性。● VEX(漏洞可利用性交换)
结合可利用性上下文,FossID能智能地确定漏洞的优先级并进行分类,同时也为SBOM添加更多上下文信息。
-
开源治理和SBOM
FossID为您提供了对代码库可见性和完整性的有效治理方法,以便树立对软件供应链的充分自信。使用FossID,您可以将合规性和风险管理融入到您的开发流程中,实现在日常的开发过程中及时对开源软件进行治理,而不仅仅是在发布流程的最后才介入。
策略管理
贯穿于您的项目,FossID自动实施许可证、安全和开源软件使用策略,以减少手动工作量,并确保开源治理的一致性。
软件物料清单 (SBOM)
FossID构建的SBOM是:
● 完整的
包含所有检测到的第三方组件,包括传递和片段级别的识别信息。
● 体现应用场景的
包含风险决策所必需的许可证、漏洞和使用元数据。
● 标准的
以SPDX和CycloneDX 等行业通用格式导出,以适应监管和合作伙伴间协作的需要。
-
集成和可扩展性
虽然FossID工具可以脱离软件开发生命周期(SDLC)独立使用,但将其融入您的SDLC工具链中可以有效提升其运行效率。FossID灵活的集成和定制功能可优化您的使用体验,支持您构建满足扫描、门控和通知需求的个性化工作流程。
● 直接从Git SCM扫描
FossID Workbench中的Git集成功能,可以从基于Git的平台(例如 GitHub、GitLab 和 Bitbucket)导入和扫描代码。这有助于您审核代码库的合规性和安全 性风险,而无需中断开发人员的工作流程。
● 将扫描和门控集成到CI/CD流水线中
将FossID集成到SDLC最灵活且有效的方式就是将其整合到CI/CD流水线中。用户可以使用FossID CLI, FossID Workbench Agent或FossID Workbench API来构建和定制扫描、门控和通知流程,以实现在代码提交以前识别新增代码中的开源软件,在代码提交时对新的发现进行门控处理,并通过Pull Request Annotations进行实时通知。
● 测试左移
FossID Workbench和FossID CI/CD Diff Scanner均可帮助开发人员在提交代码变更之前快速检测本地代码,并在Workbench中查看最相关的结果。这有助于开发人员尽早了解 SDLC后期扫描会捕获哪些内容,从而确保在提交代码后不会出现意外发现。
-
部署选项
FossID支持您按照业务需要采用不同的部署选项,无论您需要高可靠性、法规合规性还是全球可扩展性,FossID都能适应您的基础架构。
● 混合或本地
选择适合您的运营和合规性要求的部署选项。
● 高保密性选项
非常适合处理敏感IP或机密代码库的行业。
● 高性能和可用性
可扩展,以弹性支持大型企业的全球开发团队。
-
“盲扫描”技术
为了保护您的源代码和知识产权,FossID会在执行扫描前对您的代码进行单向哈希处理,而无需访问您的源代码。这一独特流程非常适合对数据隐私有严格要求的用户,以及并购技术尽职调查期间的开源软件审计。
● 无源代码暴露
确保最大程度的安全性和保密性。
● 没有法律后顾之忧
干净利落,轻松完成工作。● 无需接触
第三方尽职审计可进行远程盲审,无需审核员亲临现场。
-
知识库
FossID强大的开源软件分析和识别能力依托于其业内领先的庞大知识库。FossID的开源软件(OSS)知识库由专门的研究团队维护和管理,涵盖来自数十个公共来源和用户贡献网站的超过3PB的软件组件。FossID知识库现包含超过2亿个开源软件组件,20多万个易受攻击的代码片段,以及超过2500个软件许可证,并且知识库还在持续的增长之中。
支持的环境
● 托管代码检测 | 包括但不限于:C++, Dart/Flutter, Go, Haskell, Java, Kotlin, Javascript, C#, Node.js, Objective-C, SWIFT, PHP, Python, Ruby, RUST, Elixir, Bazel, pants, Yocto, Soong等 |
● 非托管代码检测 | 不限语言 |
● 代码片段检测 | 最小可能检测到6行代码片段 |
● CI/CD集成 | 常用CI/CD均可集成,包括但不限于:Jenkins, GitLab, GitHub Actions, Bamboo等 |
● 第三方系统集成 | 包括但不限于:LDAP, OAuth2, SCIM, JIRA, Git,email 等 |
● API集成 | 提供完整的RESTful API支持流程和集成定制 |
RELATED RESOURCES
