1. 概述

SCA理论上来说是一种通用的分析方法，可以对任何开发语言对象进行分析，Java、C/C++、Golang、Python、JavaScript等等，它对关注的对象是从文件层面的文件内容，以及文件与文件之间的关联关系以及彼此组合成目标的过程细节。从SCA 分析的目标程序形式上分，既可以是源代码也可以是编译出来的各种类型的二进制文件，分析的数据对象对程序架构，编译方式都是不敏感的，比如：类名称、方法/函数名称、常量字符串等等，不管目标程序运行在x86平台还是ARM平台，不管是windows程序还是Linux程序，都是一样的，简而言之SCA 是一种跨开发语言的应用程序分析技术。

SCA分析过程：首先对目标源代码或二进制文件进行解压，并从文件中提取特征，再对特征进行识别和分析，获得各个部分的关系，从而获得应用程序的画像—–组件名称+版本号，进而关联出存在的已知漏洞清单。

由于SCA分析过程中不需要把目标程序运行起来，因此具有分析过程对外部依赖少，分析全面，快捷、效率高的优点。

2. 国内主要厂商信息概览

国内厂商包括∶中科天齐、北大库博、泛联新安、开源网安、啄木鸟、默安科技、悬镜安全、海云安、思客云、鸿渐科技、棱镜七彩。

公司名称

成立时间

主要产品

公司特点

中科天齐

2018

自定义语言漏洞管理平台/SAST/IAST/SCA/日志分析

背靠中科院，产品实力较强

啄木鸟

2013

SAST、DAST、IAST、SCA、软件开发安全检测平台

产品性能不错，少数愿意提供定制化服务的厂商

泛联新安

2017

SAST、DAST、IAST、SCA、Interrupt Safe、InterfaTest、Fuzz、VHawk、ChipDevTurbo

背靠国防科技大学，产品覆盖软件安全、测试和EDA工具，研发能力强

北大库博

2000

源代码检测（SAST、DAST、IAST、SCA）、大数据分析、智能应用产品

背靠北大，产品实力较强

鸿渐科技

2020

SAST（核心）、SCA

核心成员来自北大，产品实力较强，主要针对高端用户市场，拿单能力强

思客云

2016

SAST、DAST、SCA

创始人团队主要自来惠普公司旗下Fortify公司

海云安

2015

SAST、DAST、IAST、SCA、软件开发安全检测平台

DAST产品在移动APP上的测试性能不错，是公司核心之一

开源网安

2013

SAST、IAST、SCA、Fuzz、Rasp、S-SDLC平台

产品线比较全面

棱镜七彩

2016

SAST、SCA（核心）

主要做开源软件漏洞检测，核心产品为SCA，已与相关检测机构达成合作

默安科技

2016

SAST、IAST、SCA、威胁建模、蜜罐

主打IAST产品

悬镜安全

2014

IAST、Al智能渗透测试、威胁管控平台、Rasp、SDL平台

主打IAST产品

3. 外国头部厂商信息概览

国外头部厂商包括∶Synopsys、Veracode、Checkmarx、HCL software、Micro Focus、Rapid7、Contrast Security、WhiteHat Security。

公司名称

成立时间

主要产品

目标市场

公司特点

Synopsys platform

1999

SAST、DASTIAST、SCA

北美，全球性公司

·Seeker agent 在IAST广泛使用，支持语言广泛并具备良好集成性

· 提供了完整的工具链，具备广泛的场景适应性，支持模糊测试

· loT AST 领先

Veracode

2006

SAST、DAST、IAST、SCA、MAST、RASP

北美，欧洲

· 全面的AST提供商，广泛的编成语言覆盖，容易部署和使用

· 不提供AST工具本地安装仅提供云端服务

Checkmarx

2006

SAST、SCA、DAST、IAST、Codebashing(training).In-workflow trainging

北美，欧洲，亚太

· 较强的SAST技术，广泛的语言支持

· 完整的SDLC集成

· DAST仅支持服务方式提供

Contrast Security platform

2014

IAST（Contrast Assess））、SCA、RASP、集中管理控制台(Contrast TeamServer)、API security、 comliance、auto pen testing、application Security Monitoring

北美，欧洲，亚太

· IAST产品较强·不支持客户端漏洞发现

· 不提供传统的SAST/DAST

Micro Focus

（合并了fortify）

1976

SAST、DAST、IAST、SCAMAST、RASP、IDE Security plug-in

全球市场，特别是北美，欧洲，亚太

· 有完整的SDLC集成

· 广泛的语言支持，支持复杂的场景的部署

·IAST 作为DAST的附件而不是独立的产品

WhiteHat Security

2001

SAST、DAST、SCA

北美

· 完全自动化的SAST，但对语言支持有限

· 不提供专门的IAST

IBM(HCL)

1911

SAST、DAST、SCA、IAST、MST、RASP

全球市场

·移动支持包含SAST/DAST/AST

· IAST作为DAST的附加，不是独立的产品

· ICA SCA只支持 saas模式

4. 业界SCA工具分析 

根据Forrester最新SCA报告，Forrester通过10个维度对不同工具进行打分：

TOP 10 SCA工具中有5款支持软件包开源软件SCA检查能力(synopsys/ Sonatype/ Veracode/ Jfrog/ GitLab)，其他工具只支持源代码SCA检查能力。

5款支持软件包SCA检查工具中，对C/C++、Java、.Net语言支持的比较好，但对Golang、python、JavaScript语言支持能力偏弱，比如：synopsys支持的组件对象中前面3种语言占大头90%+，相应的检测率也高，而Golang语言的组件检出率则低很多。

5. 总结

国外SCA头部厂商基本上是"一站式"供应者，提供工具种类比较齐全，每个厂商都有各个擅长的领域，并且在领域内有"拳头"产品。

国内虽然还没有专业的评测机构对市面上的SCA产品做专业的评测，但是根据各个厂家对外宣称的产品信息，不管是源代码文件的SCA检测工具还是二进制文件的SCA检测工具，种类还是比较齐全。这些国内厂商都有自己的核心产品，其中背靠中科院计算技术研究所、北大、国防科技大学的中科天齐、北大库博和泛联新安在人才储备、研发实力和产品全面性方面都有着不俗的表现。

目前SCA工具检测开源软件的已知漏洞是基于组件名称+版本号来关联出已知漏洞的，对部分编译场景（只有部分组件代码被编译到二进制文件中）和patch打补丁场景（漏洞已修复），误报率高。现在SCA已从主要用作对开源软件的检测向应用程序的典型编码问题检测趋势扩展，比如Veracode工具，它能提供了对诸如缓冲器溢出、命令行注入、死锁、重复释放、整形数溢出、UAF、格式化字符串漏洞，SQL注入等典型编码问题的检测能力。