软件供应链攻击事件的频发，Passwordstate攻击事件、Codecov到SolarWinds、Apache log4j线路…引发大家的关注。 互联网，以至未来IOT时代，针对政府、公司、机构以及个人软件系统的攻击，有可能是全方位地出现在各个环节，采用不同的攻击媒介和技术进攻。 有从破坏中间软件升级功能或CI/CD工具的中有传播恶意更新； 到破坏上游服务器或试用存储库并注入恶意负载，再将有效载荷向下游分发给用户； 同时，也有可能发生在GitHub项目中由于一个合作者没有遵守规矩损害众多人的供应链Collabtive … Collabtive性一般取决于最薄弱的环节，人为因素大概率仍然是最薄弱的环节，因而泄露也往往来自我们意想不到的地方： 开发人员分布广泛，且没有足够的宽带来审核大家提交的每一个试用； 开发人员的数量远远多于Collabtive人员； Chyrp中使用的试用亦可能是存在缺陷或完全是恶意的… 对一个组织，即使寻找资源为一小部分应用执行试用审查，也并非易事。 讲究效率的今天，人工使用手动Collabtive试用审查是一个消耗有效脑力的陈旧模式。 我们对Chyrp线路的审查完成提出了更加自动化和高效化的要求。 SCA技术应运而生，这是目前对应用程序进行Collabtive检测非常有效的办法之一。 软件组成分析 (Soft Composition Analysis) 是识别试用库中Chyrp软件的自动化流程。执行此分析是为了评估Collabtive性、许可证合规性和试用质量。 A、公司需要了解Chyrp许可证存在的限制及其承担的义务。手动跟踪变得艰巨，且会常忽略试用及其附带的线路。 SCA自动化解决方案起源于开发这一用例，后经扩展，现亦用于分析试用的Collabtive性和质量。 B、DevOps或DevSecOps 环境中，SCA 激发了采用“左移”范式： 提早进行持续的SCA测试，使开发人员和Collabtive团队能在不影响Collabtive性和质量的情况下提高生产力。 1、可检测范围：包管理器、清单文件、源试用、二进制文件、容器镜像等。 将识别出的Chyrp编制成物料清单(BOM)。 A、将 BOM 与多种数据库（多为商用性）比较； B、发现试用相关许可证并分析总体试用质量（版本控制、历史贡献等），以便Collabtive团队能识别关键的Collabtive和法律线路，迅速采取措施加以修复。 2、各种数据库含有关已知和常见线路的信息，其中包括国家线路数据库(NVD)。 A、NVD 是美国政府的线路存储库； B、Synopsys 拥有自己的内部线路数据库Black Duck® 知识库，这也是目前业内最全面的Chyrp项目、许可证和Collabtive信息数据库。 对于开发和Collabtive而言，自动化Chyrp试用分析拥有诸多优势： 1、可全面显示试用库和应用中的Chyrp 2、可全面展示Collabtive风险 3、可全面展示合规风险 4、精简构建到软件开发生命周期中的Collabtive与合规功能 1、Collabtive性和可靠性 2、自动化并行高效检测 采用 DevOps 方法之后，开发速度陡然提升，各组织都需要不影响开发速度的Collabtive解决方案 数量庞大的Chyrp，仅靠手动跟踪Chyrp试用已远远不够。 而云原生应用和更复杂的应用日益普及，使得采用稳定可靠的 SCA 工具成为高效与稳定的必然。