Trace

Trace – AI产品介绍文档

1. 产品档案 (Product Profile)

Trace – AI是Zerberus Technologies推出的一款专注于软件供应链安全的产品。 它通过自动化和智能化的方式，帮助开发者和企业识别、管理并降低软件组件带来的风险。

核心价值:
Trace – AI解决了在现代软件开发中日益凸显的软件供应链安全痛点。随着开源组件的广泛应用，软件的构成变得极其复杂，传统安全工具难以提供全面的可见性和实时的风险感知。Trace – AI的核心价值在于：
* 提高供应链透明度: 实时生成准确的软件物料清单（SBOM），让用户清晰了解软件组件的构成及其依赖关系。
* 精准识别并优先处理漏洞: 区别于简单地罗列CVE，它结合漏洞上下文，优先处理那些真正可被利用的漏洞，帮助团队更高效地分配安全修复资源。
* 确保合规性: 协助企业满足ISO 27001、SOC 2等合规要求，并进行许可证合规管理，避免法律和业务风险。

适用人群:
* 开发者: 需要实时了解代码依赖项的安全状况，优先处理可利用的漏洞，并确保代码的安全性和合规性。其开放透明的特性也鼓励开发者参与到产品的开发和改进中。
* 企业安全团队: 寻求全面的供应链安全保障，通过实时SBOM和漏洞扫描，降低软件供应链风险，并满足各类合规要求。
* 初创公司: 尤其适合希望控制成本，同时快速建立供应链安全体系以保障业务发展。产品提供前5个仓库免费的定价策略。

2. 核心功能详解 (Core Features)

2.1 实时软件物料清单（SBOM）生成

Trace – AI能够从持续集成（CI）流程中持续跟踪直接和间接的依赖项，并实时生成精确的CycloneDX和SPDX格式的软件物料清单（SBOM）。这意味着用户无需手动映射或猜测，即可获得其软件在每个构建或流水线中实际包含的完整软件组件清单。这种持续更新的SBOM确保了对软件组件构成及其演进的清晰了解，便于审计和风险管理。

2.2 漏洞感知扫描与智能风险评分

该功能不仅仅依赖于CVE（通用漏洞披露）列表，而是结合漏洞上下文、CWE模式、漏洞利用可能性、软件包健康状况和版本漂移进行多维度分析。 Trace – AI的5因素风险评分系统能够优先处理那些真正可被利用并对业务构成威胁的漏洞，而非仅根据CVSS（通用漏洞评分系统）得分。它还提供可操作的修复指导，包括具体的修复版本和升级路径，帮助用户更精准、高效地修复安全问题，减少警报噪音。

2.3 供应商可见性与许可证合规管理

Trace – AI在一个集成的仪表板中，跟踪API、SDK、SLA到期以及违规历史等供应商相关信息，并与代码依赖项一同展示，使用户实时掌握全面的安全态势。同时，它可快速识别GPL、LGPL等共享许可证类型，有效避免企业在审计中出现与许可证相关的意外情况，从而简化了许可证合规管理流程。

2.4 开放透明性与可审计性

ZSBOM分类逻辑是公开可审查的，政策以代码形式发布为可分叉的YAML或JSON文件，并且风险评分、许可证映射和供应商阈值等配置信息均可编辑。 这种开放性不仅增强了产品的可信度，也允许用户根据自身需求进行高度定制。此外，系统支持将SBOM转换为CycloneDX、SPDX和JSON格式的审计证据，这些证据能清晰地与审计清单对应，无需使用复杂的电子表格进行准备。

3. 新手使用指南 (How to Use)

Trace – AI的使用流程被设计为简单直观，旨在帮助用户快速上手并开始保障其软件供应链安全：

第一步：连接仓库
用户首先需要将Trace – AI与他们的代码仓库连接。目前支持GitHub和GitLab仓库，设置过程简单，只需最少的配置即可完成。

第二步：生成实时SBOM
连接仓库后，系统将自动开始工作。Trace – AI会持续跟踪代码中的直接和间接依赖项，并实时生成详细的软件物料清单（SBOM）。这个SBOM会随着代码的演进而不断更新。

第三步：进行风险扫描
系统会结合漏洞上下文，对代码中的潜在风险进行扫描和分析，而不仅仅是依赖于简单的CVE列表。通过智能风险评分，帮助用户识别并优先处理真正可利用的漏洞。

第四步：跟踪许可证和供应商
在一个统一的仪表板中，用户可以查看其软件组件的许可证信息，以及与供应商相关的API、SDK、SLA到期和违规历史等详细情况，从而全面了解安全态势。

第五步：导出审计证据
当需要进行内部或外部审计时，用户可以轻松将SBOM转换为CycloneDX、SPDX和JSON格式的审计证据。这些证据与审计清单清晰对应，极大地简化了审计准备工作。

4. 市场反响与评价 (Market Review)

行业地位:
Trace – AI由Zerberus Technologies推出，专注于软件供应链安全领域。 在当前日益复杂的软件供应链攻击背景下，提供实时SBOM生成、漏洞感知扫描和许可证合规管理等功能，使其在该市场中占据一席之地。它旨在帮助企业满足欧盟网络弹性法案（EU Cyber Resilience Act）等法规对SBOM披露的要求，该法案要求所有在欧盟销售的软件必须提供机器可读格式的SBOM。 Trace – AI的开放性，例如将代码、路线图和讨论公开在GitHub上，并允许用户参与贡献，是其区别于一些传统专有解决方案的特点。 在软件供应链安全领域，Snyk、Veracode和Mend.io等是主要的竞争对手，它们提供全面的应用程序安全测试（AST）服务，涵盖SAST、SCA、DAST等，但Trace – AI的重点在于利用元数据驱动分析开源依赖项和注册表，预测和预防供应链攻击。

用户口碑:
由于“Trace AI”是一个较为通用的名称，目前在线上搜索到的“Trace AI”相关用户评价、优点（Pros）和缺点（Cons）多数指向了其他不同领域的产品，例如AI可观测性平台、AI工作流自动化工具 或AI数据分析工具。针对Zerberus Technologies的Trace – AI（https://trace-ai.dev/），目前没有足够独立的第三方用户口碑或详细的市场评价。根据官方介绍，其主要优点包括：开放性，允许用户参与贡献；高准确度，能够生成精确的SBOM；以及漏洞感知能力，能优先处理真正可利用的漏洞。

重要信息:
截至2025年8月，Zerberus.ai（Trace – AI的开发公司Zerberus Technologies的另一个名称）尚未获得任何融资。 也没有发现针对Zerberus Technologies的Trace – AI的知名媒体报道或获得的特定奖项。需要注意的是，一些名为“Traceable AI”的公司在API安全领域获得了多项网络安全奖项和数千万美元的融资，但这与Zerberus Technologies的Trace – AI并非同一产品。

5. 常见问题解答 (FAQ)

1. Trace – AI支持哪些编程语言和生态系统？
Trace – AI支持所有主要的生态系统，包括npm/yarn (JavaScript)、pip (Python)、Maven/Gradle (Java)、Go modules、RubyGems、NuGet (.NET)、Cargo (Rust)等，并持续增加对新包管理器和语言的支持。

2. Trace – AI如何定价？
Trace – AI提供前5个仓库免费使用的政策。后续收费则根据仓库数量进行，采用可预测的定价模式。具体价格详情以官网最新信息为准。

3. Trace – AI是否会访问我的源代码？
不会。Trace – AI仅分析依赖项清单（dependency manifests）和锁定文件（lock files），绝不访问您的源代码。所有数据在传输和存储过程中都会加密。 用户也可以选择在本地运行ZSBOM以实现完全控制。

4. Trace – AI如何确保其SBOM的准确性？
Trace – AI通过持续跟踪CI流程中的直接和间接依赖项，确保实时生成CycloneDX和SPDX格式的精确SBOM，反映软件的实际组件构成。

5. Trace – AI的漏洞扫描与传统CVE扫描有何不同？
传统CVE扫描通常只罗列已知的漏洞。Trace – AI则通过多维度分析，结合CVE严重性、CWE模式、漏洞利用可能性等因素，优先处理真正可被利用的漏洞，并提供修复建议，从而减少误报并提高修复效率。

6. Trace – AI是否支持私有仓库？
产品支持连接GitHub或GitLab仓库，通常也支持私有仓库的连接，具体配置请参考官网说明。

7. Trace – AI的数据安全性如何？
所有数据在传输和存储过程中都经过加密处理。Trace – AI仅访问依赖项文件，并且其工作流是元数据驱动的，旨在保护用户数据的安全和隐私。

8. Trace – AI是否能帮助我满足合规性要求？
是的，Trace – AI的核心功能旨在帮助企业满足ISO 27001 A.12.1.2 & A.14.2.4、SOC 2 CC8.1+等安全标准。其SBOM生成和许可证合规管理功能对于审计和合规至关重要。

9. 我可以导出哪些格式的审计证据？
您可以将SBOM转换为CycloneDX、SPDX和JSON格式的审计证据，这些格式都是行业标准且机器可读的。

10. Trace – AI如何处理供应链中的“typosquatting”攻击？
Trace – AI利用字符串距离和键盘邻近度等启发式算法，早期检测欺骗性的typosquatting软件包，从而预防在npm仓库等常见于供应链中的此类攻击。