Xygeni: SCA（软件成分分析）—— 开源安全

关于Xygeni

Xygeni专注于通过应用程序安全态势管理（ASPM）平台提升软件开发的安全性与效率。我们提供对应用风险的全面掌控，实现从代码到云端的统一安全视图，并消除干扰以有效优先处理风险。凭借先进的恶意软件检测与预警系统，Xygeni在抵御新兴威胁方面处于行业领先地位，确保软件交付快速且安全。

 

 

现代SCA：可达性分析、[自动]修复与恶意软件预警

借助Xygeni早期恶意软件检测，最小化风险并守护应用安全。

 

通过可达性分析聚焦可利用漏洞，降低误报率。实时监控功能可在软件受到威胁影响前检测并缓解依赖项中的安全隐患。

 

最新报告显示，近四分之三的代码库现已包含高风险开源组件。漏洞率在短短一年内飙升至74%（此前为48%）。更令人担忧的是，其中91%的组件至少落后10个版本，极大加剧了安全风险。恶意开源包呈火箭式增长，年增长率超过300%，2023年检测到的恶意包已突破24.5万个。是时候采取行动了！

 

Xygeni的软件成分分析（SCA）突破基础漏洞检测范畴，引入可达性与可利用性分析，助您聚焦真正关键问题。当其他工具用警报淹没团队时，Xygeni依据实际影响对漏洞进行优先级排序，确保团队减少追查误报的时间。

 

借助自动修复功能，Xygeni大幅降低软件安全防护所需的时间与精力。针对已知漏洞自动生成包含修复方案的拉取请求，加速修复流程，保障项目安全合规。

 

我们的实时监控覆盖多个公共注册库，确保所有依赖项持续接受安全完整性扫描与验证，助您全面掌控开源软件供应链。

 

风险依赖项与漏洞的高级检测

Xygeni可疑依赖项扫描器通过识别误植域名（typosquatting）、依赖混淆及可疑安装脚本等风险，帮助检测并缓解供应链攻击。通过分析依赖关系图谱，Xygeni确保您的软件免受受损组件的侵害。

 

当依赖项被标记为可疑时，Xygeni提供详细修复策略，包括版本固定、白名单机制及风险脚本屏蔽，有效阻止威胁渗透项目。

 

支持的高风险依赖检测器概览

Xygeni扫描器覆盖多生态系统的全面检测能力，助力安全团队精准识别并应对不断演变的威胁。

 

可疑依赖项检测器类型

• 异常依赖项：检测可能暗示安全风险的异常依赖项。

• 依赖混淆：识别可能被误认为公共仓库版本的内部包名称。

• 已知漏洞：标记存在已记录安全缺陷的依赖项。Xygeni整合了NVD、OSV、Github安全公告等数据库。

• 恶意软件：检测包含已知恶意威胁的依赖项。

• 可疑脚本：识别可能执行未经授权或有害操作的脚本。

• 域名抢注：拦截名称高度相似的恶意包。

• 未受限内部组件：标记存在公开暴露风险的未受限NPM组件。

 

简化开源许可管理

Xygeni扫描评估许可证，防范法律风险并确保合规，助您安心使用开源软件。

 

保障软件更新与安全

Xygeni实时监控并标记过时组件，确保运行最安全版本以降低风险并提升性能。

 

恶意软件早期检测、拦截与通知

新包发布后，Xygeni即刻启动实时扫描，通过代码行为分析检测并拦截恶意软件，免除构建后耗时紧急的修复流程。系统化流程如下：

1.持续扫描：

• 公共注册库监控：持续扫描NPM、Maven、PyPl等多个公共注册库。

• 即时通知受影响用户：一旦检测到潜在威胁，系统立即通知相关用户，实现快速响应以降低风险。通知可通过Xygeni标准机制（如邮件、消息平台、Webhook）触发。

 

2. 隔离机制：

• 自动拦截零日恶意软件：可疑软件包被检测后将自动隔离。客户可据此在CI/CD流程中设置防护措施，阻止相关软件包进入开发环境或更广泛的软件供应链。

 

3. 审查与确认：

• 安全研究员代码审查：安全研究团队对隔离包进行代码审查以验证威胁。

• 公共注册库确认：经内部团队确认后，我们将向公共注册库通报，该注册库应确认发现结果并验证威胁等级及恶意软件/漏洞性质。

 

4. 处置与公开披露：

• 处置流程：确认威胁后采取安全处置措施，确保威胁无法重新进入生态系统。

• 公开披露：通过产品渠道、Xygeni博客或软件包注册库公开披露恶意软件详情及处置方案，以警示更广泛的社区并防止进一步扩散。

 

通过可达性分析，优先处理真正重要的事项

多数安全工具会生成大量警报，却未评估漏洞是否可被实际利用。Xygeni的可达性分析通过识别漏洞在应用程序中的实际可达性，确保团队仅关注真实威胁。

 

通过分析代码执行路径和依赖项使用情况，Xygeni将误报率降低高达70%，确保修复工作聚焦于真正存在风险的问题。

 

结合漏洞利用预测评分系统（EPSS），Xygeni还能根据漏洞被利用的可能性进行优先级排序，助力安全团队高效配置资源。

 

Xygeni可达性分析为您带来：

• 调用图追踪：精准映射漏洞通过依赖项传播的路径

• EPSS优先级排序：基于实际利用概率对漏洞进行评分

• 依赖项级可达性：区分使用与未使用组件，减少冗余修复

• 持续监控与CI/CD集成：确保代码演进过程中漏洞的实时评估

 

修复风险：更智能而非更冒险

并非每次升级都是正确选择。Xygeni-SAST超越单纯检测，揭示每项修复背后的风险。针对每个存在漏洞的依赖项，您可对比补丁方案并查看：

 

• 已修复风险：更新后消失的漏洞

• 新增风险：升级可能引入的问题

• 破坏性变更：可能导致代码中断的版本跳跃

凭借这些洞察，团队能选择最安全的补丁路径，消除漏洞的同时避免引入噪音或新问题。

 

加速安全防护：自动修复功能

手动修复漏洞耗时费力，拖慢开发进度。Xygeni的自动修复功能彻底改变这一流程，可自动生成已检测漏洞的修复方案，让团队在不影响工作流程的情况下保障应用安全。

 

批量自动修复功能更进一步——支持团队同时应用多个修复方案，解决不同依赖项中的漏洞，大幅缩短修复时间并降低工作量。

 

工作原理：

 

1. 自动修复建议：Xygeni分析漏洞后直接在工作流中提供修复方案

2. 批量自动修复：单次操作应用多项修复措施，显著减少安全债务

3.无缝CI/CD集成：自动化修复不影响开发进度，确保安全能力深度嵌入管道。

4.拉取请求生成：自动创建含补丁版本的拉取请求，实现快速部署。

 

借助Xygeni自动修复功能，企业能更快消除安全风险、释放开发资源，

在无需人工干预的情况下保障应用安全。

 

SBOM与VDR功能

SBOM的监管要求：

面对日益严峻的网络安全威胁，全球监管机构正逐步强制要求使用软件物料清单（SBOM）。SBOM能清晰呈现软件应用的组件构成，助力完善漏洞管理并符合安全标准。

 

要求提供SBOM的法规包括：

1. 美国第14028号行政命令：联邦机构必须要求软件供应商提供SBOM

2. 美国NIST指南：支持采用SBOM保障供应链安全，与第14028号行政命令相呼应

3. 欧盟网络安全战略：倡导透明与安全，鼓励使用SBOM

4. 网络安全成熟度模型认证（CMMC）（美国）：鼓励国防承包商采用SBOM。

5. FDA网络安全指南（美国）：建议医疗设备申报中提交SBOM。

6. ISO/IEC标准：考虑将SBOM纳入软件安全实践。

7. 汽车网络安全法规（全球）：新兴法规要求联网车辆采用SBOM。

8. 能源领域法规（全球）：NERC等监管机构探索采用SBOM保护关键基础设施。

 

Xygeni对SPDX与CycloneDX标准的支持：

SPDX作为广受认可的标准，通过详述软件包内组件及许可信息提升透明度。Xygeni对SPDX的兼容性使客户能高效记录并传达软件内容，满足全球合规与透明度要求。此外，作为轻量级SBOM标准CycloneDX的支持者（该标准适用于应用安全与软件供应链分析），Xygeni倡导务实的SBOM管理方法。双标准支持机制使客户能够根据具体运营需求与偏好，灵活选择最适配的规范体系。

 

漏洞披露报告(VDR)集成：

Xygeni通过将漏洞披露报告(VDR)整合至其软件物料清单(SBOM)生成流程，强化了软件安全管理。我们的VDR全面呈现产品及其依赖项中所有已知漏洞，分析潜在影响并制定修复策略。此外，VDR有助于满足严格的网络安全标准，并简化修复流程。

 

易用性：

Xygeni作为用户友好型平台，通过命令行界面（CLI）和网页用户界面（WebUI）双重方式简化软件物料清单（SBOM）生成流程。这种双界面设计确保了Xygeni能满足各类用户需求——无论是偏好CLI操作直接控制权的开发人员，还是青睐WebUI直观导航与可视化洞察的安全专家。通过简化SBOM生成流程，Xygeni助力用户高效识别与管理软件组件，成为现代软件开发与安全管理不可或缺的工具。

 

集成至CI/CD管道：

Xygeni的真正价值在于其与持续集成/持续部署（CI/CD）管道的无缝集成。这种集成对自动化生成SBOM至关重要，确保每次软件构建都附带实时更新的物料清单。通过Xygeni自动化该流程可节省时间、减少人为错误风险，并通过即时风险评估与漏洞管理提升安全实践。该功能使团队能在软件进入生产环境前尽早解决潜在安全隐患。

 

全面扫描的安全门控

Xygeni不仅支持全系统扫描，还可针对特定组件或变更进行定向扫描，完美适配全面安全审计与增量更新需求。其安全门控扫描功能进一步提升实用性，使团队能在CI/CD管道的关键节点实施严格安全检查。这些扫描可触发需紧急处理的重大问题警报，助力团队对新兴威胁做出快速精准响应。

 

Xygeni-SCA 代码安全防护

检测漏洞、拦截恶意代码、守护应用程序——全部囊括在一个强大的解决方案中。

• 无需信用卡

• 快速部署，即时结果