联系电话:
021-68580866
FossID 推出面向AI时代的代理软件组成分析解决方案
创提信息
2026/04/14
分享到
转载自FossID
新功能将软件供应链完整地直接融入开发工作流,从而实现实时合规性检查以及智能、高速的软件审计。
FossID,软件供应链完整性解决方案的领导者,4月14日宣布推出 Agentic SCA,这是一种用于软件组成分析(SCA)的新技术层,旨在适应现代AI驱动的软件开发的实际需求。它能够持续、实时地识别开源、第三方和专有代码,提供内置的许可证和安全策略合规性,并显著加快更智能的审计过程。
随着生成式AI工具越来越多地被用于编写和修改代码,软件的组装速度比以往任何时候都快,且往往源自来源不明的零散代码片段。传统的安全代码分析(SCA)工具是为基于依赖关系的管理代码开发而设计的,难以跟上这一发展步伐,导致在许可证合规性、漏洞检测以及软件物料清单(SBOM)准确性方面存在漏洞。
基于代理的软件供应链分析(Agentic SCA)标志着软件供应链分析正从被动响应转向持续、嵌入式的完整性管理。
Agentic SCA 不再将扫描和合规视为下游活动,而是将 FossID 的技术和智能直接提供给 AI 代理,从而实现两大核心成果:
1、在代码编写阶段即实现合规性
FossID Agentic SCA 能够在开发人员编写或生成代码时提供实时识别和指导。
由FossID驱动的AI代理能够:
● 检测以完整代码或代码片段形式存在的开源代码、第三方代码和专有代码。
● 确定许可义务,包括复杂及混合许可场景。
● 尽早考虑Surface的版权问题。
● 实时标记已知漏洞。
● 提供即时可行的整改建议。
这使开发人员能够在提交代码之前做出合规决策,同时法律和安全政策会自动执行,而不会中断开发工作流程。
其结果是,从延迟的合规性审查转向了持续、实时的第三方许可证和安全合规性审查,这既提高了开发速度,又提升了 SBOM 的准确性。
2、智能、高速的源代码审核
FossID Agentic SCA 将审计从手动、耗时的过程转变为智能的 AI 辅助分析。
AI 代理可以利用 FossID 来:
● 对整个代码库进行多层次分析,包括签名扫描、代码片段检测、依赖关系分析,以及深入的许可和版权分析。
● 利用 FossID 的知识库和审计逻辑,高精度地识别组件、许可证和漏洞。
● 根据实际风险和影响对发现的问题进行优先级排序。
● 生成结构规范且可供共享的审计报告。
● 随着代码的演进,持续更新审计报告。
“Agentic SCA代表了软件组成分析的下一阶段发展,”FossID的CEO Stuart Dross表示。“在这个由AI驱动的世界中,软件供应链的完整性必须是持续的、实时的,并且融入代码创建的方式中。这正是我们所致力于实现的。”
专为AI驱动的开发而设计的架构
Agentic SCA 通过一种灵活且兼容代理的架构进行部署,使 AI 系统能够直接访问 FossID 的技术。
这包括:
● FossID MCP 服务器通过模型上下文协议(MCP),向 AI 代理提供 FossID 业界领先的知识库(作为数据集)及其核心分析工具,包括签名扫描、代码片段检测、许可证分析和依赖关系分析。
● 它还通过技能和Hooks函数传递 FossID 的专业审计逻辑,使代理能够识别代码、理解风险,并以审计级的准确性采取行动。
● 技能,提供由审计员制定的用于代码识别、风险评估和合规性检查的逻辑。
● Hooks函数作为事件驱动的防护措施,可在开发人员的工作流中实时触发分析。
这些组件共同使AI代理能够执行软件成分分析,并在实时应用中进行情境推理和指导。
试点计划与抢先体验
FossID的Agentic SCA目前正在与汽车、半导体、通信和软件等关键行业的精选企业客户进行试点,这些客户正在将软件供应链完整性嵌入到由AI驱动的开发工作流中,并帮助塑造FossID产品的未来。FossID预计这一新功能将在2026年下半年正式推出。
欢迎联系我们加入候补名单,以便:
● 获取产品供应情况的最新动态
● 通过直接反馈影响产品方向
● 在不增加风险的情况下,开启人工智能驱动的软件开发