源鉴SCA4.9︱多模态SCA引擎重磅升级，开源风险深度治理能力再次进阶

SCA技术已成为数字供应链开源治理的关键入口。源鉴SCA深度融合悬镜原创专利级AI智能代码疫苗技术，是国内首款集源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析等六大核心引擎为一体的多模态SCA新一代数字供应链安全审查与治理平台。

悬镜下一代SCA开源供应链风险审查技术（六大分析引擎）

本次源鉴SCA4.9版本重磅升级，针对用户需求和国内外传统SCA技术的瓶颈全面突破，不仅追求功能的全面性，更注重业务便捷性和安全性。SCA4.9拥有更强大的检测能力，深入全方位洞察安全风险；更丰富的知识库，详实了解各软件项目组件情况；更及时的情报预警服务，全面守护企业数字安全......

二进制引擎

1.新增鸿蒙移动应用检测能力 强化国产生态安全可控

随着鸿蒙系统在政务、工业、IoT终端的快速推广，越来越多的政企客户在开发国产应用时需确保其软件成分符合国产化安全要求。

源鉴SCA 4.9支持对基于HarmonyOS平台构建的移动应用（.hap）进行二进制成分识别与安全风险分析。该功能强化了国产生态下的安全保障能力，帮助客户在鸿蒙生态中实现SBOM管理与合规审计，满足《国产替代政策》《电子政务信息系统国产化改造指南》等政策中“安全可控”的核心诉求。

2.新增多种固件格式 满足嵌入式产品安全检测

为满足《关键信息基础设施安全保护条例》中要求关基运营者采购“安全可信的网络产品”，固件作为硬件设备的核心软件，需纳入安全审查范围。

源鉴SCA 4.9 新增openwrt、UF2（USB Flashing Format）、Flattened uImage Tree (FIT) Images等固件格式，适用于路由器、医疗设备、工业控制器等嵌入式产品的安全检测。在设备出厂前或第三方供应链交付时，对企业固件进行合规性审查。

3.恶意文件、编译选项检测双功能 识别潜在恶意行为

在CI/CD流程中，或在第三方交付环节，需及时识别是否存在潜在恶意行为或构建不规范的情况。源鉴SCA 4.9新增恶意文件、编译选项检测能力，支持识别使用危险编译选项或被植入恶意文件（如木马、后门）的可疑二进制文件，帮助客户识别潜在供应链攻击行为。

源码引擎

1.填补小众语言盲区 全栈代码分析无死角

源鉴SCA 4.9新增D、Fortran、Julia、Elm、Haxe等检测语言支持，Fortran与Julia在高性能计算（HPC）与科学模拟领域具有广泛应用，而Elm和Haxe则活跃于前端创新框架。许多此类项目属于国家关键基础设施范畴，对软件供应链安全有严格要求。

本次升级将填补小众语言检测盲区，通过对这些语言的支持，客户可实现对全栈代码的安全成分分析，避免因语言覆盖盲区导致的漏洞和合规风险遗漏。

2.加密算法、敏感函数检测双加持 提前规避合规风险

在金融、电信、政务等对加密强度有严格规定的行业中，需识别是否存在使用过时、弱加密算法（如MD5、DES）或非法调用敏感函数的行为。在应用出海或对外合作场景中，也需满足欧盟GDPR和美国ITAR等法规对敏感数据处理的合规要求。

源鉴SCA 4.9新增对项目中使用的加密算法（包括对称、非对称、哈希）和敏感函数（如摄像头监控、键盘监控等）的识别能力。帮助客户发现不符合《密码法》《数据出境安全评估办法》《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》等标准的加密实现，提前规避因算法不合规而产生的合规审查风险或数据泄漏事件。

3.支持私服库增量检测 保障私服库组件安全可控

企业内部构建系统（如使用Nexus、Artifactory等私有仓库）中的组件更新频繁，需高效检测新增包。源鉴SCA 4.9新增对企业私有仓库中组件变更的增量检测能力，支持快速检测新增上传的包或版本。通过私服库增量检测可提升增量检测效率，保障私服环境下的组件安全可控，满足企业内部DevSecOps流程自动化要求。

同源引擎

1.检测语言大幅增加 实现复杂系统成分全覆盖

源鉴SCA 4.9 同源引擎新增支持C、C++、Java、PHP、Go、Python、Lua、JavaScript、TypeScript、Rust、C#、CSS、Shell、Haskell、HTML、Julia、Ruby、Scala、Assembly、Clojure、D、Dart等共84种语言。适用于多语言开发项目（如AI平台、IoT系统、复杂信息系统）中统一进行组件识别和溯源分析。实现对复杂系统的成分全覆盖，避免语言盲区导致的风险遗漏。

2.扩充开源项目及收录渠道数量

为更全面覆盖主流及长尾开源社区，提升开源项目识别率。

源鉴SCA 4.9新增开源项目来源收录Apache、Archlinux、Freebsd、Gitee、Github、GNU、OpenHarmony、QT、Sourceforge、Ubuntu、X11等30余种渠道，覆盖80+开发语言。

镜像引擎

1.支持虚拟机镜像检测 实现镜像中成分全栈识别

政企、科研云平台中使用虚拟镜像部署系统，需对虚拟机镜像的软件包成分进行安全成分分析。源鉴SCA 4.9新增VMDK、IMG、QCOW2、QCOW等格式的虚拟机镜像检测，实现对镜像中软件包及组件的全栈识别，满足合规审计和镜像发布前的安全评估需求，降低部署系统成分不明的风险。

风险治理能力全面提升

1.新增深度许可版权检测、许可版权篡改分析

源鉴SCA 4.9深入扫描被测项目中的许可文本、代码文件，识别自研文件是否有未声明的许可证和版权片段，以及识别许可或版权是否被人为篡改，支持溯源文件位置及代码行号，避免可能发生的合规纠纷。

使用场景：
适用于软件发行、SaaS平台等企业在产品发布前进行合规性声明。

客户价值：
识别非法修改的许可证信息，避免引发诉讼或商用侵权风险。

2.供应链情报深度优化   

（1）源鉴SCA 4.9漏洞情报字段进一步丰富，漏洞详情新增CVSS4.x评分、EPSS评估、漏洞本身的影响厂商及产品类型信息、CPE等，

（2）支持配置预警策略及推送渠道，当情报风险更新时，自动分析已检测的历史SBOM资产是否受影响，对于符合预警策略的新情报，实时向邮件、飞书、钉钉、企业微信、webhook等通信渠道推送风险预警，支持导出命中SBOM分析报告。

使用场景：
企业希望在新情报发布第一时间了解哪些资产受影响，并导出报告用于团队分析。

客户价值：满足《等保2.0》“持续监测、快速响应”的安全运营要求，提升SBOM资产风险闭环能力。

（3）支持区分国产组件 便于国产化率评估

源鉴SCA 4.9可识别国产开源组件来源，便于客户做国产化率评估。

使用场景：适用于政企客户国产化改造项目，对国产组件进行安全与合规性评估。

客户价值：辅助国产替代评估工作，满足政策对“可信、可控”的要求，提升国产软件选型的透明度。

3. 漏洞可达引擎深度优化

源鉴SCA 4.9优化了白盒检测引擎以及可达匹配逻辑，漏洞可达检出数量大幅增加

对于源鉴SCA，需要客户关注的可达漏洞类型，包含“外部可达”、“可达”，这两个都是被测项目里真实调用了漏洞函数，需优先关注；“外部可达”是指该漏洞可与外界交互，危害性比“可达”大。

示例：该漏洞可达类型为“外部可达”,XStream.fromXML() 的漏洞本质是反序列化过程缺乏类型安全控制，当输入数据来自外部（用户、网络）时，攻击者可构造恶意 XML 实现远程代码执行（RCE）,并且存在从入口函数到漏洞函数的调用链路，所以是外部可达。

客户价值：有效收敛风险修复面，提升漏洞修复效率。

产品易用性再次升级

1.一键生成合规报告 满足安全报告可视化、可审计要求

源鉴SCA 4.9可对项目下所有检测场景的应用，导出整合后的监管报告。覆盖软件成分分析结果 、二进制软件基因安全技术分析结果、容器镜像安全技术分析结果； 满足合规检查工具箱的快速报告生成。

使用场景：适用于政府审计、第三方合规检查、客户交付等场景。

客户价值：支持一键生成合规报告，满足企业对“安全报告可视化、可审计”的要求，降低合规成本。

2.支持自定义私有组件库

源鉴SCA 4.9支持设置私有组件库和自定义私有组件漏洞信息，若应用检出私有组件，会在私有组件库中查询私有组件信息补充至检测结果中。

使用场景：
企业内部有自研组件，需统一纳入供应链成分分析与漏洞管理体系。

客户价值：
提升对自研组件安全的治理能力，满足企业对“私有代码安全可追踪”的治理要求。

3.支持任务队列管理

源鉴SCA 4.9允许用户根据需要停止或置顶队列中检测任务的顺序，确保高优先级任务能够获得更快的处理。

4.界面及报告支持展示被测应用的MD5

使用场景：用于交付物唯一性验证、合规审计、取证分析等场景。

客户价值：满足《软件交付安全规范》中对版本一致性和完整性验证的技术要求。

扩展集成配置能力增强

·新增对接Azure DevOps Server（TFS）代码仓库

·新增对接简单云制品库

·新增对接Oauth2.0单点登录

end

悬镜安全源鉴SCA多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表，并连续四年在市场应用率位列第一，同时也是国内首批通过供应链安全检测工具类-增强级（编号CSPEC-GGJ 2401001）认证，通过中国信通院可信开源治理工具能力检验认证、中国软件测评中心软件源代码开源检测评估、工业和信息化部第五研究所（中国赛宝实验室）信创功能性和兼容性测试认证等，能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力，帮助企业从引入源头、开发过程、运行监控、管理多维度闭环治理开源威胁，广泛应用于金融、智能制造、电信运营商、能源、汽车电子、政企及泛互联网等1000+头部用户。

此外，悬镜安全凭借在项目建设实践中积累的原创专利级AI智能代码疫苗技术、全球独有的多模态软件成分分析（SCA）技术、全球首个数字供应链安全情报预警技术、AI大模型智能代码分析技术和可靠的第四代DevSecOps数字供应链安全产品体系及丰富的智能制造、金融、电信运营商、能源、汽车电子、政企、泛互等行业用户落地实践，主导或参与了已完成发布标准包括：软件供应链安全、DevSecOps敏捷安全、开源治理、积极防御、安全运营等细分类别网络安全产品、服务等能力评价标准的制定，如《网络安全技术 软件供应链安全要求》、《网络安全技术 软件产品开源代码安全评价方法》、《软件供应链安全服务机构能力要求》、《软件成分分析（SCA）知识库总体技术要求》、《软件物料清单工具能力要求》等重要国家标准10余项、行业标准30余项和团体标准10余项的研制工作，正在主导和参与的在研标准累计包括40余项国家标准、行业标准和团体标准，进一步促进了我国信息安全产业的健康和规范化发展。