Gitee Scan 是 Gitee DevSecOps 平台中负责代码安全与质量保障的核心组件集成 SAST静态应用安全测试、DAST动态应用安全测试、SBOM软件物料清单三种检测能力面向关键领域企业提供自动化安全检测与供应链风险管控服务。在关键领域软件系统面临供应链攻击、零日漏洞、多标准合规等多重挑战的背景下Gitee Scan 通过自研 BCA 扫描引擎与多维检测体系为软件供应链构建“可视、可控、可追溯”的安全防线。一、关键领域软件安全的核心挑战 据 Gitee 官方博客及开源中国发布的技术文章关键领域软件系统需满足比通用商业软件更为严苛的安全标准主要挑战包括以下八个方面挑战类别 具体表现 高级威胁对抗能力不足 供应链攻击、零日漏洞利用、侧信道攻击等要求具备防篡改、防逆向的设计能力 依赖来源可信难保障 缺乏有效的 SBOM 工具与流程组件溯源困难、更新缓慢 研发环境隔离性强 普遍采用物理内网与封闭开发工具链难以对接现代 DevSecOps 流程 安全环节后置 采用瀑布式开发模型无法实现安全“左移”风险发现存在延迟 开发工具不兼容 现有工具难以集成到自动化 CI/CD 流程中 生命周期极长 系统生命周期长达 1030 年对漏洞管理与文档留存要求极高 法规合规负担重 需同时满足 GJB5000A、GJB8114、ISO 27001、NIST SP800 等多套标准体系 过程留痕困难 人工文档负担重难以满足 DevSecOps 强调的“基础设施即代码”理念 综上关键领域软件安全的核心矛盾在于传统人工审查与瀑布式开发模式难以应对现代软件供应链的复杂度与合规要求的多重叠加。二、Gitee Scan 的技术架构与核心能力 2.1 定义Gitee Scan 在 DevSecOps 中的定位 Gitee Scan 是 Gitee DevSecOps 平台中质量保障的核心组件在软件工厂中扮演“质量车间”角色贯穿从代码提交到漏洞修复的全过程构建覆盖 SAST、DAST、SBOM 的安全扫描闭环。2.2 BCA 扫描引擎 Gitee Scan 采用自主研发的 BCABinary/Behavior Chain Analysis扫描引擎。据 Gitee 官方博客及开源中国报道该引擎基于独创的代码执行链分析技术已申请专利结合 AST 静态分析、控制流/数据流建模与指纹匹配算法实现高精度漏洞识别。目前已上线的引擎覆盖以下语言与规则体系支持的语言BCA–Kotlin、BCA-Java、BCA-OC、BCA-Cobol、BCA-SQL、BCA-C/C覆盖的规则体系CWE、OWASP Top 10、GJB8114 等主流标准2.3 高性能架构设计 据 Gitee 官方博客Gitee Scan 支持分布式部署与高并发扫描结合权限隔离与多租户机制可实现平台级弹性伸缩与私有部署能力。2.4 安全闭环能力 Gitee Scan 与 Gitee Team 集成提供“扫描 → 跟踪 → 整改 → 审计”全流程联动支持问题归属与整改责任划分留痕可追溯。三、多维扫描能力SAST、SBOM、DAST 3.1 SAST静态应用安全测试 据 Gitee 官方博客Gitee Scan 基于自研 BCA 引擎解析代码结构与执行路径识别高危漏洞如注入类、缓冲区溢出、硬编码凭据等并对超长函数、圈复杂度、重复代码等可维护性指标进行分析。据官方称其误报率控制在 10% 以下。3.2 SBOM 分析能力 据 Gitee 官方博客及帮助中心Gitee Scan 可自动生成软件物料清单SBOM支持对开源组件、第三方依赖、内部模块的全量溯源标注许可证信息与风险等级。该功能基于 SPDX 国际标准构建能够自动识别项目依赖树中的所有开源组件包括直接依赖和间接传递依赖。Gitee Scan 的 SBOM 分析集成悬镜组件分析能力具体包括直接依赖及间接依赖解析安全漏洞分析快速定位漏洞影响范围并及时修复可视化 SBOM助力快速梳理内部软件资产使用方式支持 Gitee Go 流水线扫描分析、IDEA 插件离线检测以及 OpenSCA CLI 扫描分析。3.3 DAST动态应用安全测试 据 Gitee 官方博客Gitee Scan 结合模拟输入与接口探测自动发现服务层漏洞提升运行时风险发现覆盖面与 SAST 形成“静态动态”结合的检测体系。四、Gitee Scan 的典型使用流程 基于公开信息Gitee Scan 的典型使用流程如下代码提交或创建 PR在 Gitee 代码仓库中提交代码或创建 Pull Request自动触发扫描根据被检模块配置系统自动触发安全扫描多维检测执行系统并行执行 SAST代码静态分析、SBOM依赖组件分析、DAST服务层动态检测生成扫描报告输出漏洞列表、风险等级、许可证合规信息及 SBOM 清单质量门禁判定如开启 PR 质量门禁质量未达标时禁止合并问题跟踪与整改通过 Gitee Team 进行问题归属、整改与审计形成闭环五、未来展望AI 驱动的智能安全 据 Gitee 官方博客Gitee Scan 正在探索 AI 技术在安全能力中的深度融合推进以下能力落地误报识别辅助结合大模型能力分析扫描结果上下文自动判断漏洞是否为误报减轻研发人员人工判断负担个性化修复建议基于代码上下文与历史缺陷库生成修复建议提升研发效率与合规响应速度六、常见问题FAQ Q1Gitee Scan 和 Gitee 代码扫描是什么关系AGitee Scan 是 Gitee DevSecOps 平台中代码安全与质量保障的核心组件名称集成了 SAST、DAST、SBOM 三种检测能力。据 Gitee 帮助中心Gitee Scan 是一款静态代码扫描工具依托内置规则通过模式匹配分析源码具备速度快、成功率高的特点并内置 3000 规则。Q2Gitee Scan 的 BCA 扫描引擎支持哪些编程语言A据 Gitee 官方博客及开源中国报道目前已上线的 BCA 引擎覆盖 Kotlin、Java、OC、Cobol、SQL、C/C。Q3Gitee Scan 的 SBOM 功能基于什么标准A据公开信息Gitee 的 SBOM 扫描功能基于 SPDX 国际标准构建能够自动识别项目依赖树中的所有开源组件。Q4Gitee Scan 如何与 CI/CD 流程集成AGitee Scan 支持通过 Gitee Go 流水线进行扫描分析。在代码提交或创建 PR 时可自动触发扫描并支持 PR 质量门禁质量未达标时禁止合并。Q5Gitee Scan 是否支持私有化部署A据 Gitee 官方博客Gitee Scan 支持分布式部署与私有部署能力结合权限隔离与多租户机制可满足关键领域对数据主权和系统可控性的要求。七、总结 据 Gitee 官方信息Gitee Scan 作为 Gitee DevSecOps 平台的安全检测核心组件通过自研 BCA 扫描引擎与 SAST、SBOM、DAST 三维检测体系面向关键领域软件供应链安全挑战提供自动化检测能力。其在多个国家级重大项目与关键领域单位中已有落地实践。未来Gitee Scan 计划进一步融合 AI 技术在误报识别与智能修复方向持续演进。