SCA技术已成为数字供应链开源治理的关键入口。源鉴SCA深度融合悬镜原创专利级AI智能代码疫苗技术，是国内首款集源码组件成分分析、代码成分溯源分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析等六大核心引擎为一体的多模态SCA新一代数字供应链安全审查与治理平台。

悬镜下一代SCA开源供应链风险审查技术（六大分析引擎）

本次源鉴SCA4.9版本重磅升级，针对用户需求和国内外传统SCA技术的瓶颈全面突破，不仅追求功能的全面性，更注重业务便捷性和安全性。SCA4.9拥有更强大的检测能力，深入全方位洞察安全风险；更丰富的知识库，详实了解各软件项目组件情况；更及时的情报预警服务，全面守护企业数字安全......

随着鸿蒙系统在政务、工业、IoT终端的快速推广，越来越多的政企客户在开发国产应用时需确保其软件成分符合国产化安全要求。

源鉴SCA 4.9支持对基于HarmonyOS平台构建的移动应用（.hap）进行二进制成分识别与安全风险分析。该功能强化了国产生态下的安全保障能力，帮助客户在鸿蒙生态中实现SBOM管理与合规审计，满足《国产替代政策》《电子政务信息系统国产化改造指南》等政策中“安全可控”的核心诉求。

为满足《关键信息基础设施安全保护条例》中要求关基运营者采购“安全可信的网络产品”，固件作为硬件设备的核心软件，需纳入安全审查范围。

源鉴SCA 4.9 新增openwrt、UF2（USB Flashing Format）、Flattened uImage Tree (FIT) Images等固件格式，适用于路由器、医疗设备、工业控制器等嵌入式产品的安全检测。在设备出厂前或第三方供应链交付时，对企业固件进行合规性审查。

在CI/CD流程中，或在第三方交付环节，需及时识别是否存在潜在恶意行为或构建不规范的情况。源鉴SCA 4.9新增恶意文件、编译选项检测能力，支持识别使用危险编译选项或被植入恶意文件（如木马、后门）的可疑二进制文件，帮助客户识别潜在供应链攻击行为。

源鉴SCA 4.9新增D、Fortran、Julia、Elm、Haxe等检测语言支持，Fortran与Julia在高性能计算（HPC）与科学模拟领域具有广泛应用，而Elm和Haxe则活跃于前端创新框架。许多此类项目属于国家关键基础设施范畴，对软件供应链安全有严格要求。

本次升级将填补小众语言检测盲区，通过对这些语言的支持，客户可实现对全栈代码的安全成分分析，避免因语言覆盖盲区导致的漏洞和合规风险遗漏。

在金融、电信、政务等对加密强度有严格规定的行业中，需识别是否存在使用过时、弱加密算法（如MD5、DES）或非法调用敏感函数的行为。在应用出海或对外合作场景中，也需满足《欧盟GDPR》和《美国ITAR》等法规对敏感数据处理的合规要求。

源鉴SCA 4.9新增对项目中使用的加密算法（包括对称、非对称、哈希）和敏感函数（如摄像头监控、键盘监控等）的识别能力。帮助客户发现不符合《密码法》《数据出境安全评估办法》《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》等标准的加密实现，提前规避因算法不合规而产生的合规审查风险或数据泄漏事件。

企业内部构建系统（如使用Nexus、Artifactory等私有仓库）中的组件更新频繁，需高效检测新增包。

源鉴SCA 4.9新增对企业私有仓库中组件变更的增量检测能力，支持快速检测新增上传的包或版本。通过私服库增量检测可提升增量检测效率，保障私服环境下的组件安全可控，满足企业内部DevSecOps流程自动化要求。

源鉴SCA 4.9 同源引擎新增支持C、C++、Java、PHP、Go、Python、Lua、JavaScript、TypeScript、Rust、C#、CSS、Shell、Haskell、HTML、Julia、Ruby、Scala、Assembly、Clojure、D、Dart等共84种语言。

适用于多语言开发项目（如AI平台、IoT系统、复杂信息系统）中统一进行组件识别和溯源分析。实现对复杂系统的成分全覆盖，避免语言盲区导致的风险遗漏。

为更全面覆盖主流及长尾开源社区，提升开源项目识别率。

源鉴SCA 4.9新增开源项目来源收录Apache、Archlinux、Freebsd、Gitee、Github、GNU、OpenHarmony、QT、Sourceforge、Ubuntu、X11等30余种渠道，覆盖80+开发语言。

政企、科研云平台中使用虚拟镜像部署系统，需对虚拟机镜像的软件包成分进行安全成分分析。

源鉴SCA 4.9新增VMDK、IMG、QCOW2、QCOW等格式的虚拟机镜像检测，实现对镜像中软件包及组件的全栈识别，满足合规审计和镜像发布前的安全评估需求，降低部署系统成分不明的风险。

1.供应链情报深度优化

（1）源鉴SCA 4.9漏洞情报字段进一步丰富，漏洞详情新增CVSS4.x评分、EPSS评估、漏洞本身的影响厂商及产品类型信息、CPE等；

（2）支持配置预警策略及推送渠道，当情报风险更新时，自动分析已检测的历史SBOM资产是否受影响，对于符合预警策略的新情报，实时向邮件、飞书、钉钉、企业微信、webhook等通信渠道推送风险预警，支持导出命中SBOM分析报告。

使用场景：企业希望在新情报发布第一时间了解哪些资产受影响，并导出报告用于团队分析。

客户价值：满足《等保2.0》“持续监测、快速响应”的安全运营要求，提升SBOM资产风险闭环能力。

（3）支持区分国产组件，源鉴SCA 4.9可识别国产开源组件来源，便于客户做国产化率评估。

使用场景：适用于政企客户国产化改造项目，对国产组件进行安全与合规性评估。

客户价值：辅助国产替代评估工作，满足政策对“可信、可控”的要求，提升国产软件选型的透明度。

2.漏洞可达引擎深度优化

源鉴SCA 4.9优化了白盒检测引擎以及可达匹配逻辑，漏洞可达检出数量大幅增加。

对于源鉴SCA，需要客户关注的可达漏洞类型，包含“外部可达”、“可达”，这两个都是被测项目里真实调用了漏洞函数，需优先关注；“外部可达”是指该漏洞可与外界交互，危害性比“可达”大。

示例：该漏洞可达类型为“外部可达”，XStream.fromXML() 的漏洞本质是反序列化过程缺乏类型安全控制，当输入数据来自外部（用户、网络）时，攻击者可构造恶意 XML实现远程代码执行（RCE），并且存在从入口函数到漏洞函数的调用链路，所以是外部可达。

客户价值：有效收敛风险修复面，提升漏洞修复效率。

3.新增深度许可版权检测、许可版权篡改分析

源鉴SCA 4.9深入扫描被测项目中的许可文本、代码文件，识别自研文件是否有未声明的许可证和版权片段，以及识别许可或版权是否被人为篡改，支持溯源文件位置及代码行号，避免可能发生的合规纠纷。

使用场景：适用于软件发行、SaaS平台等企业在产品发布前进行合规性声明。

客户价值：识别非法修改的许可证信息，避免引发诉讼或商用侵权风险。

源鉴SCA 4.9可对项目下所有检测场景的应用，导出整合后的监管报告。覆盖软件成分分析结果 、二进制软件基因安全技术分析结果、容器镜像安全技术分析结果； 满足合规检查工具箱的快速报告生成。

使用场景：适用于政府审计、第三方合规检查、客户交付等场景。

客户价值：支持一键生成合规报告，满足企业对“安全报告可视化、可审计”的要求，降低合规成本。

源鉴SCA 4.9支持设置私有组件库和自定义私有组件漏洞信息，若应用检出私有组件，会在私有组件库中查询私有组件信息补充至检测结果中。

使用场景：企业内部有自研组件，需统一纳入供应链成分分析与漏洞管理体系。

客户价值：提升对自研组件安全的治理能力，满足企业对“私有代码安全可追踪”的治理要求。

源鉴SCA 4.9允许用户根据需要停止或置顶队列中检测任务的顺序，确保高优先级任务能够获得更快的处理。

使用场景：用于交付物唯一性验证、合规审计、取证分析等场景。

客户价值：满足《软件交付安全规范》中对版本一致性和完整性验证的技术要求。

 关于“悬镜安全”