聯系電話:
+886 2 77182788
在當今高速發展的軟體發展領域,開源軟體的採用已呈現爆炸式增長,並已成為構建應用程式的核心支柱。開源軟體的廣泛應用顯著提升了開發效率,然而,這種便利性伴隨著諸多嚴峻的挑戰:開源軟體種類繁多的許可證帶來的合規隱患、開源軟體中包含的未修復的已知安全性漏洞所引入的安全風險、以及開源元件複雜的依賴關係造成研發/審計團隊對所使用的協力廠商開原始程式碼的可見性的缺失等。此外,人工智慧編碼助手正在成為軟體發展主流,研發團隊必須在採用這些AI生成的代碼前準確識別屬於開源軟體元件的代碼片段,以避免其造成的安全、版權和許可證合規風險。因此,現代化的軟體研發團隊都需要一款優秀的軟體成分分析(Software Composition Analysis, 簡稱:‘SCA’)軟體。
FossID是全球領先的軟體成分分析和開源治理工具,2016年發源於瑞典學術研究專案,專注于解決傳統SCA工具在代碼片段檢測和許可證識別中的技術瓶頸。隨著開源合規與安全檢測需求激增,FossID憑藉其專利的指紋掃描技術快速崛起。FossID主要面向對精准檢測要求極高的企業和科研院所,尤其擅長應對碎片化代碼、AI自動生成的代碼片段、混合許可證及自訂群組件場景等。FossID為您提供檢測、識別和治理代碼庫中協力廠商軟體的工具。FossID以“深度可見性” 為核心,為企業提供開源風險的終極透視能力,尤其適合需應對強監管(如智慧設備、汽車電子、醫療器械、金融和半導體等)或擁有大量遺留代碼的客戶,是構建可信軟體供應鏈的關鍵基礎設施,幫助您更快地交付安全合規的軟體。
核心價值
-
全面識別企業代碼庫中的開源組件和開原始程式碼片段
-
深度檢測許可證衝突、安全性漏洞及代碼品質隱患
-
管控開源軟體使用風險並保障法規合規性
-
避免因開源軟體侵權造成的法務訴訟損失
-
構架軟體物料清單(SBOM)保障供應鏈透明和安全
-
整合式軟體全生命週期(SDLC)加速開發和交付流程
-
適應AI時代以便安全採用人工智慧生成的代碼
優勢和亮點
-
FossID全面識別所有開源組件和深層依賴關係
-
基於FossID專利的代碼指紋識別技術可深度檢測開原始程式碼片段
-
對非託管代碼片段的檢測可支援任何程式設計語言
-
FossID提供業界領先的對AI生成代碼的檢測能力
-
“盲掃描”技術保證被檢測代碼的智慧財產權和隱私性
-
FossID支持檔和資料夾級別的許可證分析和提取
-
FossID支援統一的策略管理保證企業開源治理的一致性
-
生成符合NTIA標準的軟體物料清單(SBOM)
-
自動生成法規和許可證合規報告
-
超低的誤報率
-
支持對超大規模代碼庫的檢測
-
FossID支持全面集成SDLC和左移測試
-
集成CI/CD流水線以支援自動檢測、門控和通知流程
-
FossID提供完整的RESTful API支援定制工作流程
-
支援集成Jira, ServiceNow等協力廠商管理系統
-
支援SaaS, 混合和本地私有化多種部署模式
-
FossID提供豐富且完整的知識庫並持續更新
-
知名、成熟且國際認可度高
主要功能
-
檢測覆蓋範圍
-
識別代碼來源
-
開源治理和SBOM
-
集成和可擴展性
-
部署選項
-
“盲掃描”技術
-
知識庫
-
檢測覆蓋範圍 FossID支持廣泛的檢測覆蓋範圍。FossID結合多層檢測技術,能夠發現您代碼中所有協力廠商軟體,無論其是通過何種方式被引入的:
● 依賴關係分析
對於託管代碼,全面分析包清單中的所有直接和傳遞依賴關係。
● 原始程式碼掃描
對於非託管代碼,利用專利的指紋識別技術深度掃描代碼,準確識別所引用的開源軟體,不限程式設計語言。● 代碼片段檢測
精准定位嵌入在原始程式碼中的被複製的或AI生成的開源庫片段。
-
識別代碼來源
利用深度上下文分析技術,FossID可以自動識別大部分來源、許可證和風險的上下文信息,因此您可以專注於修復問題,而無需人工猜測識別資訊。
● ID Assist
一個強大的建議引擎,使用特殊的評分、分組和過濾智慧技術,通過提供準確的識別資訊來加速和簡化審核流程。
● 許可證提取器
自動從檔級別檢測並提取許可證文本,即使這些文本是在修改過的或混合的許可證代碼中,以聚合成可信的許可證通知檔。● 漏洞代碼片段查找器
利用FossID細顆粒度的代碼片段檢測來精確定位與CVE相關的易受攻擊的代碼塊,以便洞察代碼的安全性。
● VEX(漏洞可利用性交換)
結合可利用性上下文,FossID能智慧地確定漏洞的優先順序並進行分類,同時也為SBOM添加更多上下文資訊。
-
開源治理和SBOM
FossID為您提供了對代碼庫可見性和完整性的有效治理方法,以便樹立對軟體供應鏈的充分自信。使用FossID,您可以將合規性和風險管理融入到您的開發流程中,實現在日常的開發過程中及時對開源軟體進行治理,而不僅僅是在發佈流程的最後才介入。
策略管理
貫穿於您的專案,FossID自動實施許可證、安全和開源軟體使用策略,以減少手動工作量,並確保開源治理的一致性。
軟體物料清單 (SBOM)
FossID構建的SBOM是:
● 完整的
包含所有檢測到的協力廠商元件,包括傳遞和片段級別的識別資訊。
● 體現應用場景的
包含風險決策所必需的許可證、漏洞和使用中繼資料。● 標準的
以SPDX和CycloneDX 等行業通用格式匯出,以適應監管和合作夥伴間協作的需要。
-
集成和可擴展性
雖然FossID工具可以脫離軟體發展生命週期(SDLC)獨立使用,但將其融入您的SDLC工具鏈中可以有效提升其運行效率。FossID靈活的集成和定制功能可優化您的使用體驗,支援您構建滿足掃描、門控和通知需求的個性化工作流程。
● 直接從Git SCM掃描
FossID Workbench中的Git集成功能,可以從基於Git的平臺(例如 GitHub、GitLab 和 Bitbucket)導入和掃描代碼。這有助於您審核代碼庫的合規性和安全性風險,而無需中斷開發人員的工作流程。
● 將掃描和門控集成到CI/CD流水線中
將FossID集成到SDLC最靈活且有效的方式就是將其整合到CI/CD流水線中。用戶可以使用FossID CLI, FossID Workbench Agent或FossID Workbench API來構建和定制掃描、門控和通知流程,以實現在代碼提交以前識別新增代碼中的開源軟體,在代碼提交時對新的發現進行門控處理,並通過Pull Request Annotations進行即時通知。
● 測試左移
FossID Workbench和FossID CI/CD Diff Scanner均可幫助開發人員在提交代碼變更之前快速檢測本地代碼,並在Workbench中查看最相關的結果。這有助於開發人員儘早瞭解 SDLC後期掃描會捕獲哪些內容,從而確保在提交代碼後不會出現意外發現。
-
部署選項
FossID支援您按照業務需要採用不同的部署選項,無論您需要高可靠性、法規合規性還是全球可擴展性,FossID都能適應您的基礎架構。
● 混合或本地
選擇適合您的運營和合規性要求的部署選項。
● 高保密性選項
非常適合處理敏感IP或機密代碼庫的行業。
● 高性能和可用性
可擴展,以彈性支援大型企業的全球開發團隊。
-
“盲掃描”技術
為了保護您的原始程式碼和智慧財產權,FossID會在執行掃描前對您的代碼進行單向雜湊處理,而無需訪問您的原始程式碼。這一獨特流程非常適合對資料隱私有嚴格要求的使用者,以及並購技術盡職調查期間的開源軟體審計。
● 無原始程式碼暴露
確保最大程度的安全性和保密性。● 沒有法律後顧之憂
乾淨俐落,輕鬆完成工作。
● 無需接觸
協力廠商盡職審計可進行遠端盲審,無需審核員親臨現場。
-
知識庫
FossID強大的開源軟體分析和識別能力依託於其業內領先的龐大知識庫。FossID的開源軟體(OSS)知識庫由專門的研究團隊維護和管理,涵蓋來自數十個公共來源和用戶貢獻網站的超過3PB的軟體元件。FossID知識庫現包含超過2億個開源軟體元件,20多萬個易受攻擊的代碼片段,以及超過2500個軟體許可證,並且知識庫還在持續的增長之中。
支援的環境
● 託管代碼檢測 | 包括但不限於:C++, Dart/Flutter, Go, Haskell, Java, Kotlin, Javascript, C#, Node.js, Objective-C, SWIFT, PHP, Python, Ruby, RUST, Elixir, Bazel, pants, Yocto, Soong等 |
● 非託管代碼檢測 | 不限語言 |
● 代碼片段檢測 | 最小可能檢測到6行代碼片段 |
● CI/CD集成 | 常用CI/CD均可集成,包括但不限於:Jenkins, GitLab, GitHub Actions, Bamboo等 |
● 協力廠商系統集成 | 包括但不限於:LDAP, OAuth2, SCIM, JIRA, Git,email 等 |
● API集成 | 提供完整的RESTful API支援流程和集成定制 |
RELATED RESOURCES
