COBOT（库博）软件成分分析及同源漏洞检测工具软件系统

COBOT(库博)成分分析及同源漏洞检测工具

一款对软件项目中第三库/开源组件进行安全漏洞扫描、代码安全审计和管理的工具

强大的第三方库检测工具

开源组件风险管理的企业级应用，打破国外在开源软件分析和检测工具市场上的垄断地位。支持二进制文件检测，可以帮助分析病毒、木马特征码。具有自主知识产权，可以定制开发

自主研发率分析

检测代码组成成分，识别出自研代码和引用开源框架/构件，计算代码中自主开发的代码比率

海量的安全漏洞知识库

主流开源构件10亿个，超过75亿个文件，20万个漏洞及构件，80种以上许可证支持

组件依赖和漏洞传播分析风险

基于Petri网和相互依赖关系，构建组件之间的相互依赖关系，一个组件中的漏洞对于其它相关组件的影响关系。提供组件列表和使用建议，帮助企业优化工程。提供自研代码比例，帮助软件资产评估和工作量评估

先进的大数据检索引擎

超级代码检索算法能够达到毫秒级别，能够以3000行/秒源代码的扫描速度检索出组件、漏洞、基本信息等，保证软件快速和高效发布

精准的检测结果

基于NVD、CNVD、CNNVD安全漏洞知识库建立的万亿级安全漏洞知识库，以及先进的扫描引擎，不依赖于开发语言的混源检测，能够得到准确的扫描结果，引用开源组件名称、版本、许可证、安全漏洞及评分、升级建议等信息

灵活的部署和定制

基于BS架构（既支持Linux，也支持Windows），可以独立部署，也可以集成到企业的持续集成环境下或其它工作流中。提供接口，满足用户的定制需求

代码DNA更准确的发现安全漏洞

应用代码DNA技术，每一个项目、文件、函数都纳入DNA编码，形成代码基因，通过DNA精确匹配技术不仅能够精确识别开源组件信息，也能识别DNA的相似程度。达到文件级甚至代码片段级别的安全漏洞识别能力，可以避免漏洞误报

全中文操作和展示

全部中文界面，中文报告，分析安全漏洞无障碍

应用场景

成分及第三方库漏洞分析

一键检测项目，分析项目中的组成成分，及第三方库存在的已知漏洞等。

版权分析

分析代码中引用的第三方组件，组件版权情况及存在的已知漏洞，并提出改进建议及生成软件分析改进报告，使企业对研发代码的安全性做到安全可控。

成分及第三方库漏洞分析

一键检测项目，分析项目中的组成成分，及第三方库存在的已知漏洞等。

版权分析

分析代码中引用的第三方组件，组件版权情况及存在的已知漏洞，并提出改进建议及生成软件分析改进报告，使企业对研发代码的安全性做到安全可控。

典型案例

某部委大数据分析平台检测和排查开源组件漏洞 

某部委研发大数据分析平台，在验收测试环节，被渗透类工具检测出系统具有安全漏洞，但是未出具详细安全漏洞信息，需要自行排查与修复漏洞。在多名开发人员排查两周未定位到漏洞具体位置的情况下，采用库博软件成分和同源漏洞分析工具进行扫描，快速锁定安全漏洞位置。该漏洞存在于系统开发过程中引用shiro-core开源组件，而该组件存在CVE-2016-4437漏洞。最终在升级该组件后，对安全漏洞进行了修补