- 综合排序
- 最热优先
- 最新优先
构建精准可控的软件供应链安全能力:T-Sec SCA的实战路径
T-Sec SCA提供的技术解决方案 腾讯安全科恩实验室推出的T-Sec软件成分分析(SCA)解决方案,核心是以自研的源码与二进制成分分析技术,构建精准的软件物料清单(SBOM)。 客户实践:多场景安全管控 T-Sec SCA方案已成功应用于三大典型场景: 开发接入场景:在编码、代码仓库提交、CI/CD构建及制品库晋级等环节嵌入SCA扫描,实现安全左移。 选择腾讯安全的核心依据 选择T-Sec SCA,是基于腾讯安全科恩实验室在开发安全领域多年的技术积淀。其BinaryAI核心算法在学术界和工业界被广泛引用和验证,确保了技术的先进性和可靠性。
10210编辑于 2026-05-30构建可信软件物料清单(SBOM):T-Sec SCA 源码与二进制级供应链安全治理体系
第二章:重塑资产透明度:以源码与二进制双核驱动的 SBOM 治理架构 针对上述痛点,腾讯科恩实验室输出经过多年内部打磨的开发安全能力,推出T-Sec软件成分分析(SCA)解决方案。 该方案的底层逻辑构建于三大核心能力架构: 基础分析层: 深入执行源码SCA、二进制SCA与系统审计。 第三章:降本增效指标:漏洞可达性评估驱动的精准收敛 T-Sec SCA 摒弃了基于简单版本比对的粗放式扫描,通过引入AI算法与海量数据知识库,将安全防御转化为可量化的工程效率提升。 第四章:贯穿全生命周期的三大典型落地场景 T-Sec SCA 已具备灵活部署、参数配置与接口调用能力,支撑企业在实际业务流中闭环风险: 场景一:研发接入场景(CI/CD全链路集成) 在开发阶段通过IDE 第五章:沉淀实战攻防经验:算法迭代与全栈信创支持 T-Sec 软件成分分析方案不仅满足基础合规,更代表了业界前沿的技术演进方向。
11410编辑于 2026-05-30T-Sec软件成分分析:应对软件供应链风险的组件治理与准入方案
第二章:基于多粒度SCA技术的全链路检测平台 腾讯安全科恩实验室推出T-Sec软件成分分析(SCA)解决方案,旨在解决开源安全及合规问题。 准入阶段: 发挥二进制SCA优势,支持复杂包格式解析与可信成分分析。 第三章:基于海量数据与AI算法的量化检测能力 T-Sec SCA依托腾讯安全统一漏洞库与科恩实验室的算法积累,实现了数据驱动的安全运营,具体技术指标如下: 组件与漏洞情报规模: 维护组件情报690W+, 第五章:技术领先性与工程化落地优势 选择T-Sec软件成分分析的核心原因在于其将实验室级的算法能力转化为高可用的工程化产品: 算法权威性: 依托科恩BinaryAI安全算法能力,该能力在学术界和工业界被广泛引用 工程化成熟度: 区别于单纯的工具,T-Sec提供围绕SBOM的管控策略运营与调整能力,支持灵活的API对接及多种部署方式,能够适应企业现有的复杂研发流程。
11810编辑于 2026-05-30- 来自专栏中国白客联盟
甲方安全建设-DevSecOps SCA分析
前言 前文讲到了利用DependencyTrack对代码进行SCA分析,但是当时是通过手动上传BOM并在UI上进行展示查阅,对于安全左移DevSecOps来说,必然需要在应用编码、构建阶段就对其进行安全分析 编码阶段可以使用类似IDEA插件来实现,本文将通过CI流水线来实现SCA分析。 Gitlab流水线介绍 本文不去讲解如何搭建Gitlab和对应的CI,只讲如何实现SCA的流水线。 附 流水线 stages: - sbom - sca - build 扫描的阶段 sca_scan: stage: sca image: ubuntu:latest 总结 本文讲解了利用DependencyTrack完成Devsecops中的SCA分析,保证了代码安全。
54210编辑于 2024-05-21 构建DevSecOps免疫系统:腾讯云SCA与SAST解决方案的量化实践
缺乏SCA能力体系建设,导致超60%的企业在源码和制品层面无法实现安全左移。缺乏开源风险预警能力,使企业难以应对类似Log4j2的“核弹级”漏洞,且30万+漏洞库的实时更新能力缺失。 腾讯科恩实验室的双引擎技术方案 腾讯安全科恩实验室推出T-Sec软件成分分析平台,基于二进制级、代码级分析能力,覆盖10+开发语言。 该平台整合百TB级组件知识库,通过多阶段SCA组合分析,实现从源码片段级到二进制级的深度检测。 金融资管客户的全流程实践 某管理规模1.4万亿元的头部资管公司,通过T-Sec平台实现DevOps全流程嵌入。方案对接CODING平台自动触发检测,利用数亿级别组件知识库提供专业修复建议。
9010编辑于 2026-05-30腾讯安全科恩实验室SCA与Xcheck SAST:构建DevSecOps全链路免疫能力
具体表现为源码与制品SCA接入不足,分析能力受限导致漏报多,且无法满足特定扫描需求。 第二章:构建基于AI算法与模拟执行的双引擎方案 腾讯安全科恩实验室提供以T-Sec软件成分分析(SCA)与Xcheck(新一代SAST)为核心的解决方案,覆盖软件供应链全生命周期。 1. T-Sec软件成分分析:全链路组件治理 核心技术:依托科恩实验室BinaryAI安全算法能力,支持二进制级与代码级分析,覆盖超过10种小众语言及鸿蒙ArkTS等新框架。 能力覆盖:支持源码SCA、二进制SCA、系统审计,具备漏洞可达性评估与代码级特征匹配,能够自动化生成SBOM并进行台账运营。 2. 数据来源:腾讯安全科恩实验室 陈次恩(负责SCA产品运营与商业化)、腾讯云高级工程师 林蔡勇(负责Xcheck产品研发)
11000编辑于 2026-05-30- 来自专栏LoRexxar's Blog
SCA的困境和出路
SCA是什么?我想可能很多人都有这个问题。SCA的全称叫做Software Composition Analysis,有的朋友可能直接把他叫做软件成分分析,也可以叫他组件安全分析。 这个东西最常见的地方就是github,github内置了一个简单的SCA扫描 今天我们主要聊聊白盒角度的SCA,SCA这个东西听名字好像很复杂,但是实际上把它聊的简单一点儿可以拆开两部分,一个是组件数据 >这篇文章中,我把SCA分成了3个阶段。 第一阶段 - 漏洞数据库 最早期的SCA主要构成是漏洞数据库,一般来说,SCA开发者会通过爬虫去爬取CVE等各种漏洞公示网站,其中最重要的是如何将漏洞关联到组件以及版本中。 现在主流的SCA大部分还停留在第一阶段,部分商业的SCA开始逐步探索第二阶段、第三阶段,但真正将SCA完全自动化接入到DevSecOps流程中,我想还有很长的路要走(找10个“人工”智能审核 :>)。
1.5K30编辑于 2023-02-21 - 来自专栏FreeBuf
Fortify Sca自定义扫描规则
以下是参考fortify sca的作者给出的使用场景: ? 常规安全问题(如代码注入类漏洞)这块,目前的fortify sca规则存在较多误报,通过规则优化降低误报。 编码规范 尽量使用fortify官方认可的安全库函数,如ESAPI,使用ESAPI后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。 再次扫描后我们发现fortify sca已经可以识别我们自定义的validate函数 ? 报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。 ? 总结 Fortify sca总体来说一款很强大的代码安全扫描工具,但不可避免的有误报和漏报。
5.3K10发布于 2020-02-20 数字化业务风险主动防御与软件供应链安全治理核心洞察
攻击者视角”的暴露面与源代码双驱检测体系 针对数字资产与供应链的双重隐患,腾讯安全(以高睿、杨振宇为代表的专家团队)基于自身26年服务10亿级用户的安全运营经验,提出并落地了以下针对性技术解决方案: T-Sec T-Sec 软件成分分析 (SCA) —— 贯穿DevSecOps全生命周期的白盒/二进制检测: 依托腾讯科恩实验室的底层能力,打造以源码和二进制分析为核心的检测引擎。 基于30万+情报库的检出精准度与开发提效: SCA引擎底层调用30万+漏洞情报与百TB级清洗后的原始组件数据。 依托底层算法与生态沉淀构筑技术壁垒 针对复杂的数字主权与智能网联安全挑战,企业选择腾讯T-Sec体系的核心决策依据在于其底层算法的领先性与行业权威认可: 权威机构评估认证: 腾讯攻击面管理产品成功入选
10200编辑于 2026-05-30- 来自专栏存储公众号:王知鱼
SiliconMotion:基于SCA提高SSD带宽
SCA区分数据总线和命令总线,区分后可在后者插入更多指令,提高数据传输效率。 使用SCA协议SSD读IO性能(蓝)在不同场景都显著提升。 基于SCA协议的数据: 1. 大文件场景,SCA与传统协议特征相似,但读性能仍有10-20%的提升(随IO speed 增加而扩大)。 总结:SCA协议对SSD在小文件场景的读性能有极大改善,归因于在协议设计时分离了命令和数据管道。 基于SCA协议 4K随机读场景的IOPS性能比传统协议高出66%左右,同样性能在扩展8pLUN中也表现一致,说明在物理颗粒工艺条件不改变的情况下,仅通过适配SCA协议,可增加单控制器4K读场景的性能。
35400编辑于 2025-02-11 以攻击者视角构建主动防御:腾讯攻击面管理与软件供应链安全实践
依托腾讯实战经验构建双重防护体系 腾讯安全基于自身26年为互联网10亿级用户及公有云B端用户的攻防经验,提供攻击面管理(ASM)与软件成分分析(SCA)相结合的解决方案。 攻击者视角的攻击面管理(T-Sec ASM) 从攻击者视角出发,产品覆盖“资产威胁、攻防风险、信誉威胁、社工风险、内容威胁、合规风险”六大维度。 软件供应链安全(T-Sec SCA) 针对开源组件风险,提供源码/二进制级软件成分分析,建立软件物料清单(SBOM)。
7700编辑于 2026-05-30- 来自专栏python3
python输入,格式化输入,以及sca
在Python里,没有与scanf()直接等同的功能函数,因此需要格式化输入,就需要使用正则表达式的功能来实现,并且正则表达式的功能比scanf()更加灵活,功能更加强大,下面就来列出一些等同的表达:
2.2K10发布于 2020-01-10 - 来自专栏OpenSCA
SCA技术进阶系列(三):浅谈二进制SCA在数字供应链安全体系中的应用
SCA的二进制检测可以对源代码检测起到很好的补充:二进制 SCA 检测对象为二进制构建产物,无需源码。 二进制 SCA 和源代码 SCA 检测阶段不同,源代码 SCA 在开发阶段检测,二进制 SCA 在测试、交付阶段检测。在语言支持上互补,对 C++、C、Java、Go 等语言良好支持。 07 二进制软件成分分析实践应用7.1 开发安全检测源码级SCA结合二进制SCA的能力,预防开发流水线过程管控的疏漏,即使中途更换组件版本或配置错误的编译选项,仍可在编译构建和制品打包活动结束后进行二次检测 源鉴SCA结合运用丰富的知识库指纹样本:文件结构特征、文件hash分析、各类静态特征等融合分析能力,全面提升扫描精度:基于丰富的知识库特征样本:知识库覆盖主流的代码托管平台GitHub、GitLab、BitBucket 源鉴SCA在满足实现源码级检测技术的基础上,结合二进制SCA技术、运行时SCA技术及漏洞可达性分析等技术,有效帮助开发人员更好地管理和维护软件成分,减少无效漏洞的运营干扰,提高软件的安全性和可靠性,助力企业建立并有效落地数字供应链安全治理体系
1.5K51编辑于 2023-07-21 构建DevSecOps免疫体系:基于SCA与SAST技术的软件供应链安全治理与提效
然而,企业在落实DevSecOps战略时,普遍面临战略理想与业务现实的巨大冲突: 开源组件治理盲区(SCA痛点): 企业在引入第三方代码与供应商制品时,面临“黑盒”困境。 部署双引擎驱动的DevSecOps自动化检测与治理基座 针对上述行业痛点,腾讯安全科恩实验室输出其内部实战打磨的安全能力,构建了以SCA与新一代SAST(Xcheck)为核心的双引擎解决方案,实现从源码到二进制制品的安全闭环 T-Sec 软件成分分析(SCA)引擎: 提供全流程、多维度的开源治理方案。具备强大的解包能力与二进制代码级特征匹配能力,覆盖源码SCA与制品SCA。
6200编辑于 2026-05-30腾讯云T-Sec数据安全审计产品概要
一、产品定位与核心亮点 技术定义:腾讯云T-Sec数据安全审计是一款基于云原生架构的数据安全审计产品,通过旁路部署实现对云数据库(腾讯云)及自建数据库的全量操作审计,聚焦合规与风险防控。 undefined数据来源:腾讯云T-Sec数据安全审计产品官方资料 产品优势 云原生数据安全:云数据库自动发现、云原生数据安全审计、规则库及时推送; 优异审计性能:基于TKE弹性SaaS架构、 数据来源:腾讯云T-Sec数据安全审计产品典型案例
17810编辑于 2026-04-29- 来自专栏Cyber Security
【产品那些事】什么是软件成分分析(SCA)?
SCA概述 SCA(Software Composition Analysis)译为软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 SCA技术能够有效帮助使用者发现开源组件中的安全性问题。SCA主要有三种用例:开源漏洞管理、开源许可证管理以及SBOM清单。 影响SCA代码分析准确性的因素主要分三个方面:其一是SCA工具支持组件的数量和检测算法,其二是应用程序引用开源组件的方式,其三是底层漏洞库的广度和颗粒度。 ,对此,不同SCA工具厂商有不同的解决方案。 这种场景对SCA工具检测二进制文件尤其明显。
3.5K10编辑于 2024-09-09 T-Sec 数据安全审计产品概要
一、 产品定位与核心亮点 T-Sec 数据安全审计是腾讯云推出的云原生数据安全审计服务,具备自动发现云数据库、旁路部署不影响业务、混合云支持等核心特性。
16710编辑于 2026-04-29T-Sec 密钥管理系统 KMS 概要
数据来源:腾讯云安全云鼎实验室 TENCENT SECURITY YUNDING LAB 一、产品定位与核心亮点 技术定义 T-Sec 密钥管理系统(KMS)是腾讯安全云鼎实验室推出的安全管理类服务
15910编辑于 2026-04-30- 来自专栏程序员爱酸奶
SCA Sentinel 分布式系统的流量防卫兵
这篇文章带领大家了解使用 Sentinel ,Sentinel SCA推出的微服务组件,可以用来作为服务降级服务服务限流和服务监控。也是阿里出品,和 Nacos 可以很好的配合使用。
58320编辑于 2023-11-16 - 来自专栏腾讯云代码分析
【腾讯云代码分析】TCA集成SCA分析开源组件
https://cnb.cool/tca/code-analysis 境外开源:https://github.com/Tencent/CodeAnalysis 背景概述 ▼ 软件成分分析(SCA SCA 工具能够自动检测和报告安全风险、合规性问题以及过时的依赖项,从而提高软件的安全性和合规性。这些工具在现代软件开发中尤为重要,因为它们帮助团队在快速迭代中保持对外部依赖的可见性和控制。 T-SCA(试用版)是一款基于源码扫描的开源组件分析工具,能够自动识别项目源码中使用的开源组件,生成详细的组件清单,并检测潜在的安全漏洞,使得开发者能够轻松管理和监控项目中的开源组件,确保软件开发过程的透明性和可靠性 工具介绍 ▼ TCA主要集成了srcAuditor的能力,这是SCA的一个模块,是面向源码的安全扫描工具,用于分析源码中软件成分,License/Copyright合规风险,安全漏洞,开源组件投毒风险 TENCENT_CLOUD_SECRET_KEY=xxxxx 注意: 工具会在本地节点机中分析代码库,并连接腾讯云的开源组件知识库比对查询结果,并不会上传任何代码或片段 开始扫描 TCA需要团队自行接入扫描节点,使用SCA
1.5K10编辑于 2025-03-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号