SmartRocket Scanner是一款开源组件成分资产安全与合规分析管理工具,基于左移安全、DevSecOps、实时监控的安全理念,在软件生命周期中对开源软件和依赖组件进行持续自动化识别、组件清单管理、安全风险分析与漏洞修复、许可证风险分析、持续集成管理、用户库管理等,并与第三方开发工具无缝集成,实现自动化的安全分析、策略执行、持续集成以及实时监控,针对新的漏洞及时响应与定向通知。工具适用于敏捷开发/流水线/安全左移等持续管理与监测平台,来通过产品解决方案帮助企业解决对开源软件维护、管理不善而产生的问题等。
客户试用申请
多维度代码静态扫描、依赖包扫描、代码同源扫描、镜像扫描,透彻行分析。
精确定位并提供漏洞级解决方案或缓解措施,为风险评估提供详细信息。
提供全方位的开源许可证识别、风险分析、溯源分析和兼容性分析。
系统知识库每日更新,及时发现新漏洞影响组件与项目,定向推送与响应。
提供丰富的插件、APIs或第三方接口,无缝集成至客户DevOps系统。
高效率的研发服务团队,可针对客户的特定需求进行快速定制化开发。
提供动态解决方案,选择与用户使用版本最近的安全版本进行推荐升级,保证兼容性,若多个漏洞属于同一组件则会推荐统一版本进行修复。
支持企业自主构建漏洞库及开源软件知识库,项目能及时检测出是否引入该依赖或漏洞,同时工具提供开放的API,支持灵活的客户化定制。
用户可基于漏洞风险等级、许可证、组件黑白名单设置规则,自动阻止有风险的组件进入私有仓库,防止问题组件进入软件开发生命周期。
支持在编码过程中发现代码问题并定位到行,快速给出修复建议,在构建阶段根据用户自定义规则进行自动化策略执行,及时阻断实现安全左移。
为管理团队提供整个企业的开源资产可视化大屏,清楚掌握所使用的开源组件、开源漏洞、漏洞变化趋势等,直观统计并协助企业管理安全资产。
实时监控开源软件漏洞情报,关联用户的相关项目,做到及时响应,提供邮件和钉钉等事务跟踪工具配置,进行定向提醒、精准推送问题信息。
