Checode 开源助手-产品手册-V3.0
Checode开源助手是一套开源识别和风险检测的系统,可以帮助您发现您的软件中存在的开源代码、以及这些开源代码可能存在的风险。从而帮助您识别自有存量代码中的开源风险,并在今后的软件开发过程中选择使用最合适的开源代码。
Checode开源助手
—— 新一代开源检测与管理工具
开源软件已经进入了几乎所有的软件领域,所有的软件公司和开发者几乎都在使用开源软件。
虽然大家都在使用开源软件,但是对于所使用的开源软件的风险识别和管理,却有着巨大的差别。有些公司已经制定了系统的开源管理策略、并使用专业的工具帮助其进行开源软件管理,而还有很多公司仍然处在一种“随意”使用的状态,而随意的使用开源软件,可能会带来巨大的风险,对开源软件的滥用可能会导致引入安全漏洞、侵犯知识产权、自有知识产权受到侵犯等问题,导致被迫开源、产品召回、产品重新设计等严重后果,影响商业利益和企业形象。
Checode开源助手可以帮助您发现使用开源软件的风险和问题,帮助您合理、安全、高效的使用开源软件,让开源为您创造更大的价值。
Checode开源助手是一套开源识别和风险检测的系统,可以帮助您发现您的软件中存在的开源代码、以及这些开源代码可能存在的风险。从而帮助您识别自有存量代码中的开源风险,并在今后的软件开发过程中选择使用最合适的开源代码。其工作原理如下图所示:
功能特点 |
l 代码扫描与开源代码识别
ü 自动代码扫描,能够实现代码行级别的开源代码识别。
ü 能够识别开源组件许可证和开源文件许可证。
ü 识别并展示开源组件存在的已知安全漏洞。
ü 支持对代码打包文件内部压缩包的解压扫描。
ü 支持对代码中链接引用的外部代码的自动获取和扫描。
ü 支持所有编程语言。
l 识别结果展示与代码确认
ü 自动展示与扫描文件匹配的开源软件及详细信息,包括许可证信息、安全漏洞信息等。
ü 可按照文件或文件目录进行确认,也可以按照匹配的开源组件、或者指定的许可证进行确认。
ü 支持人工确认,也支持智能自动确认。
l 数据统计与分析
ü 统计分析历史扫描中最常用的开源组件。
ü 统计分析历史扫描中最常用开源组件的安全漏洞。
ü 统计分析扫描项目中开源和非开源代码所占的比例。
ü 统计分析扫描项目中各种类型文件的数量和占比情况。
ü 统计分析扫描项目中使用的开源组件及其安全漏洞情况。
ü 统计分析扫描项目中使用的开源许可证情况。
ü 统计分析扫描项目中含有开源成分的文件列表及其开源成分的来源信息。
l 团队协作
ü 通过团队将扫描项目分享给团队成员,团队成员可以协同处理扫描项目。
ü 可以将相关用户邀请进入团队,共同进行协同工作。
ü 可以通过团队公告和消息让团队成员了解相关信息。
l 用户权限管理
ü 支持自定义用户角色,为每种用户角色分配特定的用户权限。
ü 系统自带最常用的多种用户角色。
ü 每个用户可以通过指定其用户角色进行权限管理。
l 中文操作界面
ü 全中文操作界面,符合国内用户使用习惯
ü 界面操作简单方便
中文操作界面(项目和团队)
中文操作界面(数据分析)
部署方式 |
l 离线部署方式
整个系统完全部署在用户侧的服务器上,使用时无需与互联网连接。此种部署方式适用于对代码安全和信息安全要求比较高的用户。如下图所示。
l 云部署方式
整个系统部署在用户的私有云中,用户内部人员可以共同访问和使用,如下图所示。
主要适用场景 |
检测机构进行 软件检测 |
在检测机构对软件进行自主知识产权检测和软件安全检测时,需要全面、精确的发现送检软件中存在的开源代码,如果没有专业工具的支持,将是难以完成的任务。 Checode开源助手能够自动、高效地扫描软件代码,准确地找出送检软件中的开源代码,并且能够提供这些开源代码的许可证、安全漏洞等多种信息,为检测机构进行自主知识产权检测奠定了基础,也是软件安全检测的一种重要手段。 Checode支持人工和自动两种确认方式,能够兼顾确认的效率和准确性,也提供了一定的灵活性。 |
|
|
软件企业进行 开源检测和管理 |
软件企业和开发者在大量使用开源软件的同时,为了避免开源软件引入的合规性和安全漏洞等风险,需要识别其软件中包含的开源代码,以及这些开源代码可能引入的风险。 Checode开源助手能够快速、准确地发现软件中的开源代码,并且能够提供这些开源代码的许可证、安全漏洞等多种信息,为软件企业和开发者发现开源软件风险提供了依据,进而能够采取有效的措施避免相关风险。 Checode开源助手支持与其它开发系统的无缝集成,便于开发人员的日常使用和企业内部的大规模使用。 |
|
|
软件供应商进行开源合规检测
|
部分软件开发企业和开发者作为某些大型企业的软件供应商,其用户会要求其对所提供的软件产品进行开源软件检测,如果检测出的开源软件不满足最终用户的开源软件合规要求,可能会导致软件产品无法交付等后果。 Checode开源助手能够全面、准确地发现软件中的开源代码,并且能够提供这些开源代码的许可证、安全漏洞等多种信息,帮助软件供应商全面准确地检测出其软件产品中存在的开源软件及其风险,进而能够采取有效措施避免相关风险。 Checode开源助手能够提供详细的开源检测报告,全面、详细地呈现出开源软件及其风险信息,让用户一目了然。 Checode支持按照代码量购买产品、并可以提供扫描服务,用户可以根据自身的扫描需求灵活定制购买产品或服务,降低使用成本。 |
|
|
公司并购过程中进行开源审计
|
在公司并购中,如何评估公司软件资产的价值及风险,是尽职调查中的重要的环节。通过分析目标企业软件中使用的开源软件情况(开源审计),可以有效评估其中具有自主知识产权的核心代码比重,并发现软件的真正价值;同时,对于目标企业软件的开源审计还可以发现其中潜在的知识产权和安全漏洞风险,从而达到对其软件资产价值进行准确评估的目的。 Checode开源助手能够在短时间内扫描大量软件代码,并且全面、准确地发现软件中的开源代码及其许可证、安全漏洞等多种信息,为尽职调查提供了全面、准确的参考信息。 Checode支持按照代码量购买产品、并可以提供扫描服务,用户可以根据自身的扫描需求灵活定制购买产品或服务,降低使用成本。 |
优势 • 亮点 |
l 国产工具、自主可控。
l 业界领先的开源知识库。
l 支持代码行级别的精确扫描识别。
l 支持外部代码的自动获取和扫描。
l 统一识别发现开源代码的许可证风险和安全漏洞风险。
l 同时支持扫描结果的人工确认和智能自动确认。
l 支持线上部署和完全本地部署。
l 中文操作界面。
l 内置强大的团队协作功能。
l 丰富的数据统计和分析。
l 本地化技术支持与服务。
主要技术指标 |
1、 开源知识库:收录超过500万个独立开源组件,收录相关安全漏洞超过12万个。
2、 支持语言:支持扫描分析所有主流编程语言的代码;不仅能够扫描源代码,也能够扫描二进制文件。
3、 扫描性能:强大的扫描性能,一定条件下,能够达到50文件/秒以上的扫描分析速度。
4、 扫描结果确认:支持手工确认,能够保证最为精准的确认结果,同时也提供了最大的灵活性;也支持智能自动确认,可以方便快速的确认扫描结果,节省了大量人工。
5、 扫描报告:清晰明了的扫描报告,支持HTML / PDF / EXCEL 等格式。包含开源组件列表、安全漏洞列表、确认文件列表等详细的扫描结果信息。
6、 数据统计与分析:提供系统级别和扫描项目级别的数据统计信息。系统级别统计信息包括:最常用开源组件及安全漏洞、最常用许可证统计等;扫描项目级别统计信息包括:文件分类统计、开源组件统计、许可证统计、安全漏洞统计等。
7、 团队协作:支持创建团队,不同用户可以加入一个团队进行协作;扫描项目可以分享到团队,由团队成员进行共同操作。
8、 用户及权限管理:提供常用的预置用户角色,也支持自定义用户角色。
9、 部署方式:支持完全离线部署和云部署。