信息化观察网

中标喜报

近日，悬镜安全成功中标国内新能源TOP1汽车制造厂商“SCA开源风险治理”项目，中标产品为悬镜源鉴SCA开源威胁管控平台。该项目再次充分彰显出汽车行业标杆用户对悬镜在数字供应链安全领域领先实力的高度认可，同时为其他行业用户树立了标杆案例。

据悉，该用户业务布局涵盖汽车、新能源、轨道交通和电子等领域，汽车运营足迹遍布全球六大洲、70多个国家和地区，营收和市值均超过千亿元，2023年全年累计销售超300万辆，蝉联全球新能源汽车销量冠军，是新能源领域当之无愧的行业领导者。

“软件定义汽车”时代

开源威胁不容小觑

当前我国新能源汽车产业蓬勃发展，智能网联趋势持续深化。汽车技术与工程核心逐渐从传统硬件层面转移到软件层面，踏上软件定义汽车(SDV)的变革之路。

软件定义汽车意味着日益膨胀的代码量。据亿欧智库预计，到2025年，每辆智能汽车的软件代码量将达到5亿行。而这其中，由于成本低、效率高等独特优势，引用开源组件成为车企、Tier1、Tier2在软件开发过程中的常规操作。

然而，使用开源组件同样面临着安全漏洞、许可证、供应链攻击等安全风险。

车辆漏洞风险：调查显示，超过70%的应用在初步检测时就会被发现其存在开源组件漏洞。此外，一个开源漏洞可能会涉及到多个零部件，甚至多款车型，最严重可能会直接危及整车安全以及汽车功能安全。

许可证风险：使用开源软件需要遵守开源代码对应的许可证条款，不同开源软件的许可证可能存在知识产权和兼容性等风险。

积极应对开源风险

悬镜助力打造数字供应链安全防线

基于以上背景，为了进一步提升整车安全能力，识别整车软件安全漏洞及整车软件组成成分，避免整车软件引入开源及第三方软件带来的许可协议风险、法律管制风险、漏洞风险、专利风险等问题，该用户引入悬镜源鉴SCA进行开源治理，助力其实现以下安全能力：

SBOM管理

源鉴SCA支持对DSDX、SPDX、CycloneDX等标准格式SBOM风险扫描和导出，提供目标软件中使用的许可证列表及风险提示，适用于C、C++、Java等汽车行业常用的多种开发语言；

二进制SCA分析

适配.hex、.xcd、.out、.mot等车端产品不同固件格式，基于源鉴SCA二进制制品成分分析引擎，分析可执行二进制的具体特征，提供对应的软件成分、漏洞风险等；

漏洞管理

提供详细的漏洞风险告警、漏洞影响分析及对应的修复建议，支持与漏洞安全管理中台进行深度集成，进行全局任务调度和风险管理；

组件依赖检测

源鉴SCA能够识别并标明组件直接依赖和间接依赖，展示组件来源、组件引用位置、组件具体引入路径，引入的具体代码行数、代码片段等；

代码溯源分析

基于代码成分溯源引擎，源鉴SCA可对应用内所引用的开源代码进行溯源分析，识别出所引用的开源项目，包括开源项目的名称、仓库地址、引用的许可证、官网链接、项目描述、匹配文件或代码片段及引用路径等；

代码自研检测

基于片段级同源检测技术，源鉴SCA可对应用内的代码进行自研率分析，提供开源代码和自研代码的比例展示，提升自研软件和第三方交付软件的软件透明度，协助用户满足国家对软件自主可控的监管要求。

技术创新驱动

源鉴SCA树立安全新范式

SCA是开源治理的技术抓手，源鉴SCA作为新一代开源数字供应链安全审查与治理平台，全方位覆盖数字应用在开发、测试、采购和运营阶段涉及的第三方开源组件和多层依赖、代码克隆、开源许可协议、二进制制品、运行时应用的纵深数字供应链开源安全风险，并结合供应链安全情报，实现数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。凭借源鉴SCA的技术创新性与应用实践性，悬镜多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表厂商，并成为了北京信创工委会和供应链安全能力中心的供应链安全审查指定平台。

最全场景适配

源鉴SCA具备多源SCA开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测、二进制检测、容器镜像检测及运行时检测等核心能力，结合悬镜独有的情境感知的智能代码疫苗技术，全面挖掘源码、二进制制品、运行应用、容器镜像中潜藏的各类安全漏洞及开源协议风险。

实时精准推送供应链安全情报预警

源鉴SCA依托国内首个数字供应链安全情报中心，拥有业内领先的专业供应链安全情报库，基于精确、全面的软件物料清单梳理和AI大数据分析引擎，实现7*24全网数字供应链安全动态监测与溯源分析，智能推送“与我有关”的数字供应链投毒攻击、组件缺陷与失效和开源许可证风险。

率先深度支持中国首个自有SBOM格式DSDX

SBOM对降低供应链维护和保障的工作量及难度意义重大。源鉴SCA率先深度支持国内首个数字供应链安全SBOM格式DSDX（Digital Supply-chain Data Exchange），DSDX可实现开源应用组件级资产测绘，兼容SPDX、CycloneDX、SWID等国内外标准，并涵盖数字供应链流转信息、可追溯文件、组件，依赖的过程变化及其来源，更适配中国企业实战化应用实践场景。

国产化信创赋能，一键数字供应链安全审查

源鉴SCA赋能信创监管合规，兼容适配国产主流信创环境，包括x86_64/AArch64 CPU架构等基础运行环境，OpenEuler、麒麟等操作系统，TiDB、TDSQL等国产数据库，保障国产信创产业生态链的安全可信；

同时作为北京信创工委会指定信创数字供应链安全审查平台，提供一键数字供应链安全审查服务，覆盖数字应用的软件源代码、源代码指纹、软件安装包和制品包等对象，确保信创应用快速符合相关监管要求。

截至目前，源鉴SCA已广泛实践于车联网、金融、泛互联网、政企、能源、通信等行业用户，包括中国信息安全测评中心、宁德时代、中国电信研究院、联通软研院、国信证券等头部用户，市场占有率连续两年（2022、2023）蝉联国内第一。作为悬镜第三代DevSecOps数字供应链威胁管理体系中开源治理环节的新一代开源数字供应链安全审查与治理平台，源鉴SCA将持续立足技术创新和产业实践，守护中国数字供应链安全。