*手机号注册/登录说明：

根据工信部最新发布的短信签名实名制管理要求，各大通信运营商已全面升级短信签名管控机制。

受此影响，部分用户可能暂时无法正常接收短信验证码。为确保您顺利注册，我们建议您优先选择邮箱或微信账号完成注册流程。感谢您的理解与支持！

2025 年 7 月 1 日：【清源 SCA 社区版】正式开放服务

注册登陆

https://cleansource-ce.sectrend.com.cn:9988/login

用户操作手册

https://cleansource-ce.sectrend.com.cn:9988/document

2025 年 7 月 22 日：【清源 SCA 社区版】开放 CLI 及部分模块源代码

作为一款专为开源社区/OSPO、个人开发者、中小型企业研发团队 &安全人员 &法务人员以及合规/知产服务机构等量身定制的轻量化开源安全与合规检测工具，通过集成化的组件分析能力，为开源组件安全管理提供了系统性解决方案。

这期我们将从产品定位、核心功能、技术架构、应用场景等维度，全面解析【清源 SCA 社区版】的技术特性与实践价值。

一、产品定位与核心价值

在开源生态蓬勃发展的当下，软件供应链安全风险日益凸显。【清源 SCA 社区版】聚焦开发者与中小型企业在开源组件管理中的实际痛点，以“轻量化检测、智能化分析、全流程防护”为设计理念，构建了一套覆盖开源组件引入、检测、修复、管理全生命周期的安全解决方案。 

【清源 SCA 社区版】在功能设计上实现了核心能力的精准覆盖：每周 20 次的扫描额度且每次 500MB 的文件大小限制，既满足了中小项目的基础检测需求，又通过梯度化的企业版升级路径，为成长型团队提供了可扩展的安全能力。其核心价值体现在三个层面： 

1、风险可视化

通过组件成分分析、漏洞检测、许可证识别的三维度扫描和分析，将隐性的开源风险转化为可量化的安全指标，协助团队建立清晰的风险识别体系。

2、修复工作简化

基于漏洞可达性分析与版本升级建议，提供从风险定位到修复实施的闭环指引，降低安全修复的技术门槛。

3、合规体系化

通过许可证类型分类与合规性评估，辅助团队构建开源治理规范，避免因许可证冲突导致的法律风险。

二、核心功能详解

1、多模态用户管理体系

【清源 SCA 社区版】构建了业界领先的多维度身份认证体系，支持邮箱、手机号、微信三种登录方式，满足不同用户群体的使用习惯。在注册流程设计上，采用“一键授权+信息补全”的轻量化模式，首次登录即默认完成注册，将用户转化路径压缩至 3 步以内。 

图 1：注册界面（手机号、邮箱、微信扫码注册）

*手机号注册/登录说明：

根据工信部最新发布的短信签名实名制管理要求，各大通信运营商已全面升级短信签名管控机制。受此影响，部分用户可能暂时无法正常接收短信验证码。为确保您顺利注册，我们建议您优先选择邮箱或微信账号完成注册流程。感谢您的理解与支持！

图 2：登陆界面（支持邮箱、手机号、微信登陆）

1.1 精细化登录策略 

• 手机号登录：采用短信验证码机制，验证码有效期 5 分钟，单日获取上限 20 次，有效防止恶意刷取。短信模板遵循《通信短信息服务管理规定》，包含明确的服务标识与操作提示。

• 邮箱登录：支持密码加密存储与找回功能，邮件验证码模板区分注册与密码重置场景，包含完整的安全提示信息。

• 第三方授权登录：通过与微信实现安全对接，仅获取用户唯一标识与基础信息，确保数据安全。首次授权时自动创建账号，简化注册流程。

图 3：智能化账户管理

1.2 智能化账户管理

登录成功后，系统右上角动态展示用户身份信息，点击可进入账户中心进行信息管理。支持以下核心功能：

• 多身份绑定：允许用户关联手机号、邮箱、微信等多种身份标识，实现“一处绑定，多端通行”。 

• 安全信息修改：支持头像更换（系统内置头像库）、昵称修改（长度限制 80 字符，唯一约束）、密码重置（需通过已绑定的手机号或邮箱验证）。

2、全流程检测任务管理

图 4：创建扫描任务

检测任务模块是【清源 SCA 社区版】的核心功能载体，支持 Web 端创建与 CLI 命令行创建两种模式（7 月 22 日将正式开放 CLI），实现开发流程的全场景覆盖。

图 5：支持本地代码和 Git 上传

2.1 多元化任务创建

• Web 端创建：支持本地源码上传（支持.zip, .gz, tar, tar.gz, jar, war, tgz, tar.bz2, .bz2, .xz, .cpio, .rpm, .whl, .aar, .apk, .7z 等十多种文件格式）与 Git 仓库拉取（兼容 GitHub、GitLab），文件大小限制 500MB，超出时自动报错。 

• CLI 创建：CLI 创建（构建）goMod、goDep、govendor、Maven、Pip、Pipenv。提供命令行工具集成，深度融入 CI/CD 流程，实现自动化安全检测（7 月 22 日将正式开放 CLI）。

图 6：命令行工具下载（7 月 22 日正式开放 CLI）

图 7：任务扫描中

图 8：任务列表

2.2 智能化任务执行

任务执行过程中实现精细化控制：

• 扫描策略：默认采用“全面扫描”模式，扫描层数为全部，自动开启漏洞可达性分析，关闭软件包解析，确保检测效率与准确性的平衡。 

图 9：修复建议-漏洞定位

• 资源控制：每周（自然周）累计扫描次数 20 次，扫描成功后计数，终止/失败任务不计入次数。每周一 0 点自动重置次数，剩余次数为 0 时创建按钮置灰并提示。

图 10：每周 20 次免费扫描，扫描次数用尽提醒

• 任务管理：任务列表按扫描时间倒序展示，支持任务名称模糊查询、安全问题筛选（强烈建议修复/建议修复/可选修复/无风险）、创建时间筛选。扫描中任务支持终止，失败/终止任务支持删除，成功任务支持查看与删除。  

图 11：任务列表支持筛选

（任务名称、安全问题、创建时间）

3、智能化检测结构分析

图 12：任务详情

检测结果展示模块通过多维度可视化与精细化分类，将复杂的安全数据转化为可操作的修复建议。

3.1 分级风险展示

图 13：任务详情-修复建议

3.1.1 风险分级体系：

采用四级风险分类标准，基于漏洞等级、可达性、许可证类型、维护状态等维度综合判定：

• 强烈建议修复：漏洞为超危且可达、漏洞为超危且可达为空、许可证类型为强互惠型、组件停止维护的（EOL）、是否存在在野利用（各种条件之间是或者的关系）；

• 建议修复：漏洞为高危且可达、漏洞为高危且可达为空、漏洞为中危且可达、漏洞为中危且可达为空、漏洞为低危且可达（各种条件之间是或者的关系）；

• 可选修复：漏洞为超危且不可达、漏洞为高危且不可达、漏洞为中危且不可达、漏洞为低危不可达；许可证为弱互惠型、漏洞为低危且可达为空（各种条件之间是或者的关系）；

• 无风险：无漏洞（各种条件之间是或者的关系）。

3.1.2 组件列表：

按风险等级分类展示，支持组件名、版本、许可证类型、漏洞等级筛选，组件名称按首字母排序，展示内容包括组件名、版本、许可证、许可证类型、漏洞、风险等级统计。

3.2 深度修复指引

点击修复建议按钮，系统展示立体化修复方案：

• EOL 修复建议：针对停止维护的组件，提示“该项目已不再维护，可能存在安全风险，建议用其他类似功能项目” ；

• 许可证修复建议：针对强互惠型许可证，提示“该项目许可证为强互惠型，存在法律风险，建议更换宽松型许可证项目” ；

• 漏洞修复建议：推荐可升级的目标版本（基于组件级漏洞数据库，选取当前版本之后无漏洞的相近版本） ；

• 漏洞详情：展示漏洞名称、类型、等级、CVE/CNNVD 编号（支持链接到 NVD/CNNVD 官网）、可达漏洞可定位漏洞产生的文件代码行 。

4、标准化文件格式

4.1 【清源 SCA 社区版】支持 Excel 文件格式：

按组件首字母排序，包含完整的组件信息、风险等级、修复建议，适合线下评审与归档。 

4.2 报告导出：

在组件列表页面提供导出入口，支持下载到本地。

三、技术亮点与技术框架

1、先进的检测算法体系

【清源 SCA 社区版】在检测能力上实现了多项技术突破，构建了多层次的组件分析能力：

1.1 构建依赖识别：

深度解析 Maven、Pip 等包管理器的依赖描述文件，准确提取组件名称、版本、依赖关系等元数据。 

1.2 源码文件匹配：

通过文件哈希、目录结构、代码语法特征等多维度匹配，识别源码中未构建的第三方组件。

1.3 漏洞可达性分析：

基于程序数据流分析技术，验证漏洞触发路径是否在代码执行流中可达，通过路径敏感分析减少误报。

1.4 许可证分类算法：

将许可证分为强互惠型（如 AGPL、GPL）、弱互惠型（如 LGPL）、宽松型（如 MIT、Apache）等几大类，辅助合规评估。

2、企业级技术标准

在基本功能上，【清源 SCA 社区版】实现了企业级的技术标准：

2.1 性能指标：

注册/登录响应时间≤3 秒，支持 100 并发用户；检测接口支持高并发场景，预留扩展能力。 

2.2 安全机制：

• 数据传输：采用 Https 协议加密传输敏感信息，防止用户信息被窃取或篡改；

• 数据存储：密码采用 bcrypt 算法加密存储，防止用户密码泄漏。

2.3 兼容性设计：

• 浏览器兼容：支持 Chrome、Firefox、Safari 等主流浏览器；

• 系统兼容：支持 Windows、Mac、Linux 操作系统； 

• 多端适配：响应式设计，兼容移动端设备。 

3、开放的生态集成能力

【清源 SCA 社区版】通过开放接口与工具链集成，实现开发流程的无缝融合：

3.1 CI/CD 集成：

提供标准 API 接口，支持与各类主流 CI/CD 工具集成，实现代码提交时的自动化扫描。 

3.2 CLI 工具：

提供命令行工具，支持邮箱密码登录、源码检测任务创建（保留包管理器构建与非构建逻辑）、日志等级与目录设置，满足自动化脚本需求。

3.3 API 接口：

开放登录、任务创建、结果查询、报告导出等核心接口，接口参数与 Web 端保持一致，支持二次开发。 

四、应用场景与用户价值

1、开发者个人场景

对于独立开发者或小型开发团队，【清源 SCA 社区】提供了轻量化的安全防护能力：

1.1 代码安全自检：

在开源项目提交前，通过 Web 端上传源码或 CLI 集成到本地构建流程，快速检测潜在的漏洞与许可证风险，确保代码质量。

1.2 合规性保障：

在开源项目发布前，通过 SBOM 报告生成与许可证分析，确保项目符合开源协议要求，避免法律风险。 

1.3 学习与成长：

通过漏洞修复建议与组件升级指引，帮助开发者提升安全意识与技术能力，构建更安全的代码习惯。

2、企业研发场景

对于中小型企业，【清源 SCA 社区版】实现了从“被动检测”到“主动防护”的转变：

2.1 供应链风险管控：

在采购第三方组件或引入开源依赖时，通过批量扫描与风险评估，建立组件白名单制度，从源头控制安全风险。

2.2 交付质量保障：

在项目交付前，通过全量扫描生成 SBOM 报告与安全评估报告，满足甲方尤其是在金融、医疗等特殊行业的合规要求。

2.3 开发流程优化：

通过 CI/CD 集成，将安全检测嵌入开发流水线，实现“代码提交-自动扫描-风险预警-修复验证”的闭环管理，提升开发效率。

3、合规/知产服务机构

3.1 精准识别法律风险，降低诉讼概率：

精准定位许可证冲突，结合 SBOM 信息为法律抗辩提供结构化证据。

3.2 提升审计效率，减少人工成本。

3.3 拓展咨询、尽调等律所高附加值服务。

4、社区与生态场景

作为开源产品，【清源 SCA 社区版】在社区生态建设中发挥重要作用：

开源项目治理：社区管理者可通过扫描任务对接入的代码进行漏洞与许可证合规性审核，确保社区项目的安全性与合规性。

五、开源计划与合规保障

【清源 SCA 社区版】秉持“开放共享”的开源理念，制定了清晰的开源计划： 

1、核心代码开源

7 月 22 日将正式开放 CLI 和部分模块源代码。计划开源依赖检测和指纹文件生成逻辑代码，通过社区贡献提升算法精度与兼容性。

2、开源合规管理

在代码开源前，进行严格的安全检测（缺陷检测、渗透测试）与合规审查，以便个人及组织放心使用。 

3、社区生态建设

通过 GitHub 开源仓库、技术文档、开发者社区等渠道，建立开放的技术交流平台，吸引开发者参与功能优化与漏洞修复。

六、清源 SCA 社区版 VS 清源 SCA 企业版

七、开源安全新范式

【清源 SCA 社区版】通过“核心功能免费化、企业能力阶梯化、技术生态开放化”的创新模式，为开源软件供应链安全管理提供了可落地的解决方案。从多模态用户管理到全流程检测闭环，从智能化风险分析到开放的生态集成，其技术架构与功能设计始终围绕开发者与企业的实际需求，实现了安全能力与开发效率的平衡。 

在开源生态快速发展的今天，软件供应链安全已成为不可忽视的技术命题。【清源 SCA 社区版】通过持续的技术创新与社区共建，正逐步构建一个“安全可感知、风险可控制、修复可落地”的开源安全新范式，为数字时代的软件开发保驾护航。无论是独立开发者还是中小型企业，均可通过【清源 SCA 社区版】，在享受开源红利的同时，构建坚实的安全防线，实现“开源而不失控”的开发目标。

八、【清源 SCA 社区版】官方链接

快来注册体验吧！

注册登陆

https://cleansource-ce.sectrend.com.cn:9988/login

用户操作手册

https://cleansource-ce.sectrend.com.cn:9988/document

九、关注我们

扫下方【安势信息小助手】二维码，第一时间获取【清源 SCA 社区版】最新信息

扫一扫｜安势信息小助手

扫码下方二维码加入官方交流群，每日获取安势信息在官网交流群和公众号中发布的：

• CVE 未收录高危漏洞提前感知

• CVE 热点漏洞精选

• 投毒情报

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商，核心团队来自 Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持 DevSecOps 的理念和实践，以 AI、多维探测和底层引擎开发等技术为核心，提供包括清源 CleanSource SCA（软件成分分析）、清源 SCA 社区版、清正 CleanBinary (二进制代码扫描)、清流 PureStream（AI 风险治理平台）、清本 CleanCode SAST（企业级白盒静态代码扫描）、可信开源软件服务平台、开源治理服务等产品和解决方案，覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体 &软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网 www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。