.png)
摘要
Reveal 作为全球领先的文件审查平台,选择通过集成 Mend SCA 来解决开源软件带来的风险隐患。借助 Mend 强大的漏洞扫描与许可证合规功能,Reveal 在三个月内大幅减少了关键漏洞数量,尤其在公司并购过程中显著降低了法律审查的难度。此外,Mend 持续的风险监控能力也为 Reveal 建立了稳健的安全基线。
Reveal 是一家领先的电子证据审查平台提供商,专注于将处理引擎、视觉分析技术与人工智能能力高度集成到一个统一的平台中,服务对象包括法律服务机构、律所和各类企业。他们致力于帮助客户更快、更高效地识别关键性信息。
一、挑战:漏洞繁多,合规压力巨大
Reveal 依赖庞大的开源库生态,使用的库超过 8000 个,其中不少存在潜在安全漏洞。每当面临收购或出售公司时,Reveal 需要在极短时间内完成尽职调查,快速确认所有应用程序中不存在严重漏洞,并确保许可证使用合规。然而,传统的方式效率低、压力大,难以满足业务发展的节奏。
二、解决方案:引入 Mend SCA,全面提升安全治理
为满足更高标准的安全需求,Reveal 决定采用 Mend SCA(软件组成分析工具),并将其与 GitHub 等代码仓库系统进行集成,确保在代码提交阶段即可发现漏洞。与此同时,Mend 与 JIRA 的整合使得每一个新发现的漏洞都能第一时间被自动分派至相应的团队,实现 DevSecOps 的高效协同。
Reveal 设定的目标十分明确:将关键漏洞在下一个冲刺周期前解决完毕,做到发现即修复。
三、落地成果:漏洞大减、效率倍增、收购更安心
✅漏洞数量显著减少
在部署 Mend 的短短三个月内,Reveal 成功将漏洞数量从数百项下降到个位数,仅剩少量库仍需关注。
✅尽职调查提速
借助 Mend,Reveal 能清晰掌握所有组件的漏洞与许可证信息,大幅提升法律尽调的信心和效率。正如 Reveal 的 Brothers-McGrew 所说:“我可以非常自信地告诉对方,我们的安全状况完全在掌控之中。”
✅许可证合规强化
Mend 的许可证识别能力极大地降低了因合规问题而导致的并购障碍。Reveal 能在项目早期就锁定潜在许可问题,从源头上解决合规风险。
✅持续监控 + 快速基准化
Mend 不仅适用于当前项目,也成为 Reveal 在每一次新公司收购中建立安全基线的“标准动作”。Brothers-McGrew 表示:“当我们收购新公司时,我们会立刻部署 Mend,了解整体状况,从关键问题入手逐步推进。”
四、总结:Mend为软件安全设立新标杆
Reveal 的经验表明,软件组成分析不仅仅是检测漏洞,更是打造企业级安全标准的基础设施。通过 Mend,Reveal 不仅建立了快速响应机制,还在并购、合规与安全治理方面树立了行业典范。
