软件供应链安全测试工具

 

 

 

奇科厚德 Checode SCA 工具,采用自研内核,同时支持代码片段扫描、代码依赖分析、二进制代码分析等多种技术,为用户提供精准的软件物料清单(SBOM)、开源漏洞清单和开源许可证清单。其扫描速度、结果准确度媲美国际知名SCA产品,满足SCA产品进口替代需求,服务于企业软件供应链安全管理和软件生命周期管理要求。

开源漏洞定位与修复

 

 

奇科厚德新一代开源漏洞分析工具V-Hunter,聚焦软件代码中的开源代码风险,精确定位开源软件漏洞代码,提供修复建议帮助提升软件质量,降低修复成本。

开放用户自建代码知识库

 

 

奇科厚德的 Checode CHS 工具,让用户可以创建自己的代码知识库,具有更细颗粒度的代码片段扫描分辨率,可分析不同软件的代码相似度,查找自研漏洞代码。

成功案例

SUCCESS STORIES

用户基本情况

该用户是国内领先的软件测评机构,拥有科技人员数千人,为国内客户提供广泛的软件认证和测评服务,包括信息安全测试、代码质量审查测试、质量改进测试、委托验收测试、功能确认测试、产品登记测试等广泛的测试项目,服务对象包括软件企业、软件企业用户、政府机构等,其提供的测试报告应用于国家重点项目交付、项目验收、企业资质评定等各种场合。

 

产品使用情况

奇科厚德的Checode SCA(软件成分分析)、VPS(漏洞探针系统)、CHS(代码同源分析),已经投入使用,测试结果集成在该机构的多种测试项目中:
一、信息安全测试、委托验收测试、政府项目交付测试服务中,采用Checode SCA分析开源软件许可证合规性;
二、信息安全测试、代码质量审查测试、质量改进测试、委托验收测试的服务中,利用Checode SCA和VPS,检测开源组件漏洞情况;
三、Checode SCA和CHS应用在产品登记测试中,用来发现代码重复申报、利用开源代码申报等不当行为;

 

用户价值

Checode SCA/CHS/VPS的功能,通过API集成在了我们实验室的测试平台中,他们的知识库覆盖范围大,测试结果准确,还支持盲审扫描和代码同源检测。最近国际品牌退出市场,有了对应的国产工具顶上,对我们的各项测试工作支持很大。

 

-----------国内领先软件测评机构软件测评实验室主任

测评机构

用户基本情况

该用户是国内领先的科技企业,主要服务网络电商和物流,帮助十数万商业用户实现网络运营和网商业务拓展。企业拥有软件开发人员两千多人,每年开发和维护数百款网络应用,采用了数百个开源组件。
随着网络业务规模日益扩大,服务的客户群体也从全国逐渐向全球覆盖,对软件合规性管理要求也越来越多,而且近年国内对软件供应链管理也日益增强,随着企业对开源软件认识的逐渐深入,企业对开源治理的战略也更加清晰,经过审慎评比,企业选择了奇科厚德的软件成分分析系统来提升企业开源管理水平。

 

产品使用情况

该用户引入奇科厚德的Checode SCA,用于企业内部开源软件治理:
1、利用Checode SCA,对企业内数百个在研项目的代码进行一次彻底的摸底,搞清楚企业内常用的开源组件,并对在研和在用项目建立了开源组件台账;
2、建立开源组件池,建立了引入新开源组件的规则,对需要引入的开源组件进行分析和评审,为企业内部快速选用合规开源组件打下了良好的基础;
3、建立交付审查制度,对即将交付的项目代码进行扫描和审查,形成SBOM备案,利于后续升级和更新服务;

 

用户价值

“Checode开源助手采用国际认可的开源代码片段扫描技术,扫描结果准确。确认结果可以直接继承,让我们在大范围摸底排查中,工作效率越来越高,提前数周完成了公司布置的摸底任务。”
 

 

-----------某国内领先科技企业开源安全负责人

企业