SCA能力再获认可！腾讯Xcheck通过可信开源治理工具能力评估

9月21日,中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会联合主办的2023 OSCAR开源产业大会在京召开,会上发布了2023可信开源最新评估结果。其中,腾讯Xcheck-SCA开源威胁管控平台通过了可信开源治理工具评估。继去年通过静态应用程序安全测试(SAST)工具能力要求评估之后,XCheck再次获得了信通院权威认可。

围绕“安全”“合规”“持续”“健康”的开源生态发展目标,中国信通院在业内率先提出“可信开源”理念,目前已形成覆盖开源全生命周期的标准及评估体系,为推动开源技术的安全合规应用与发展提供重要参考。

其中,可信开源治理工具评估(SCA)围绕具有开源组成和安全性分析功能的开源组件扫描工具进行针对性评估,聚焦安全产品的基本能力、技术支持能力、易用性、部署能力、安全性及兼容性,腾讯Xcheck凭借优异的性能和漏洞检测能力通过了此次能力评估。

近年来,开源软件以其开放、共享、便捷等特点迅猛发展,逐渐成为信息系统软件开发的基础,但也带来了包括技术风险、法律风险和供应链风险在内的挑战。在软件应用生命周期里,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长,为了规避开发阶段以及第三方供应链引入的安全威胁,DevSecOps理念持续升温,软件成分分析(SCA)能力和工具成为了安全厂商的研发焦点。

在大会开源安全和供应链分论坛上,腾讯开发安全产品规划负责人刘天勇带来了《二进制SCA技术在软件供应链安全中的实践分享》。刘天勇介绍,Xcheck-SCA是腾讯自研的新一代软件成分分析系统,具备源码SCA和二进制SCA两大能力,以及数据全面、更新及时的开源组件知识库,经过长期内部实践及不断迭代优化,已建成了优秀开源组件检测能力,有效保障软件供应链安全。

(腾讯开发安全产品规划负责人刘天勇)

其中,二进制 SCA 能力是腾讯安全的独家技术优势。腾讯Xcheck二进制SCA能力是基于二进制软件成分分析技术,全方位、高精度的对二进制构建物进行分析,无需源代码,一键上传目标文件,即可输出依赖组件,并高效准确识别风险及检验软件许可协议合规。

作为软件成分分析系统,腾讯Xcheck-SCA有效应对了传统开源组件分析检测不全、检测不准、知识库信息维护难三大痛点,在安全漏洞检测层面,腾讯Xcheck-SCA支持各种开发语言的源代码及常见固件、镜像、文件系统、压缩文件等多语言、全格式、多维度的深度扫描,漏洞检测效率高、误报低。

腾讯Xcheck-SCA搭载腾讯安全独家维护的开源组件知识库,开源组件数量500w+,开源组件版本数量7000w+,数据量、准确性、更新频率都是国内最高水平;拥有优秀的漏洞数据库,漏洞总量28w+,覆盖NVD、CNVD、CNNVD,由腾讯安全专家持续维护追踪漏洞,维护数据库的实时性、有效性和全面性。

在部署应用层面,腾讯Xcheck-SCA部署简单,具备丰富的平台管理功能和第三方对接集成功能,支持私有化部署,支持API接口、DevOps平台集成、缺陷跟踪系统集成、代码仓库集成、制品仓库集成等,全面适应企业软件开发运维的各类场景。

当前,“安全左移”理念成为趋势,将安全融入软件开发全生命周期成为企业高效收敛安全问题的不二之选。依托自身实践自研的技术工具和手段,腾讯安全将持续打磨安全产品,助力开源软件可信安全,实现从源头降低安全风险,帮助行业和企业践行“安全左移”理念。