风险速查与分析

更新时间：2025.09.12

一、 安全风险

清源SCA在检测项目成分时，同时分析开源组件中存在的安全问题，识别组件存在外部漏洞风险，提供漏洞信息、修复方案；关联影响项目范围，快速有效定位风险，提高漏洞响应效率。同时提供全面的漏洞情报与生态投毒情报的实时监控，风险感知前置，并为用户提供有效的缓释措施。

1.1 检测代码后自动检出安全风险

当任务扫描完成后，任务列表会展示当前任务存在的安全问题，安全风险分为强烈建议修复、建议修复、可选修复，点击查看可进入风险详情页面，查看组件的具体漏洞信息；

1.2 修复建议查看

点击修复建议，可查看该组件的升级建议，清源SCA会提供该风险组件的短期升级建议与长期升级建议；

• 短期升级建议：提供当前组件版本最近的一个无漏洞的修复版本，并提供升级兼容性判断；若无法满足则提供最近的一个无超危、高危漏洞的修复版本，并提供升级的兼容性判断。
• 长期升级建议：提供当前组件版本中最新的一个无漏洞的修复版本，并提供升级兼容性判断；若无法满足则提供该组件版本中最新的一个无超危、高危漏洞的修复版本，并提供升级兼容性判断。
• 兼容性判断：清源SCA会从JDK版本、函数签名、类签名、类成员签名方面衡量升级的兼容性。

1.3 漏洞信息查看

点击漏洞查看按钮，可查看当前漏洞基础信息，并提供风险分级、影响分析、及代码级定位能力；点击“您使用的任务”可查看开漏洞影响的组件在哪些任务中使用，方便研发快速定位风险；

点击“漏洞定位”可溯源代码中引入漏洞的位置

1.4 安全情报总览

清源SCA将风险前置，提前30天以上获取CVE漏洞情报，独家披露未公开的CSSA漏洞，漏洞覆盖面更广，即时性更高；同时对于生态投毒的情报，会动态感知组件投毒行为，展示近一个月新增的投毒组件信息。

二、 合规风险

清源SCA在检测项目成分时，同时分析开源组件中存在的合规风险，识别开源组件使用的许可证、许可证类型，同时对原文条款进行分析，帮助用户进一步了解许可证中风险。