首 批 認 證

天融信供應鏈安全檢查系統

首批通過

公安部第三研究所網絡安全等級保護中心

《軟件成分分析系統技術規范》檢測

獲供應鏈安全檢測證書工具類--增強級認證

為確保市場上的軟件成分分析類工具在功能和安全性上的一致性和有效性，公安部第三研究所網絡安全等級保護中心牽頭編制了《軟件成分分析系統技術規范》，從安全功能要求、自身安全要求、環境適應性要求、安全保障要求四大維度出發，圍繞軟件物料清單管理、軟件成分風險分析、數據安全、通信安全等核心能力指標展開，并給出相應評價方法，適用于對軟件成分分析系統的檢測評估。

天融信供應鏈安全檢查系統在軟件成分識別、漏洞風險分析、投毒風險分析、開源許可合規風險分析、供應鏈連續性分析、集成配置、自身安全、安全保障等核心能力方面表現良好，首批通過檢測！

相較于基本級，增強級在風險分析、結果輸出等方面，對系統功能提出了更加嚴格的要求。本次測試通過充分體現了天融信供應鏈安全檢查系統在功能應用方面的專業性。

天融信供應鏈安全檢查系統TopSCA

天融信供應鏈安全檢查系統以二進制文件分析技術和多種SCA檢測算法為核心，集組件成分分析、開源組件漏洞風險檢查、開源許可證風險排查、敏感信息泄露檢測等功能于一體，從組件信息識別、依賴關系梳理到漏洞檢測、許可風險分析、敏感信息檢測逐漸深入，助力開源組件風險治理，保障關鍵信息基礎設施、重要網絡和信息系統軟件供應鏈安全。

漏洞檢測準確

系統采用數據流、控制流、污點分析等多種分析技術，從常見攻擊面出發，提煉漏洞的二進制特征，漏洞匹配更準確，漏洞檢測準確率高達95%。

知識庫豐富

系統內置開源組件指紋、版本、漏洞等各類知識庫，符合NVD、CNVD、CNNVD等漏洞平臺標準，安全專家團隊持續維護追蹤漏洞，維護知識庫的實時性、有效性和全面性。

文件格式多樣

支持多種制品格式解析，涵蓋移動端、嵌入式、后臺開發、云原生等多種開發場景的二進制格式解析，滿足不同開發場景的供應鏈安全檢查要求。

當下，全球產業體系深度融合，供應鏈任一環節遭受攻擊均可能引發連鎖反應，供應鏈安全已然成為抵御網絡攻擊的關鍵所在。隨著開源軟件技術的廣泛應用，大量軟件產品使用開源軟件或組件，以保障敏捷開發過程中的效率和便利性。但開源軟件使用不規范、軟件交付渠道不可控等問題，會導致潛在的軟件供應鏈風險，為此軟件成分分析類工具成為了檢測發現軟件產品供應鏈風險的必要手段之一。

天融信將持續投入研究供應鏈安全檢查分析和安全管理等相關技術，深入了解行業供應鏈安全檢查場景，不斷提高供應鏈安全檢查與治理能力，依托專業漏洞挖掘團隊持續更新SCA檢查知識庫，為客戶建立數字供應鏈全生命周期的安全管理提供技術支撐。