免费好用的开源组件安全风险排查工具:OpenSCA

OpenSCA是国内最早建立的开源SCA平台,继承了商业级的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘三方开源组件中潜藏的各类安全漏洞及开源协议风险。支持Java、JavaScript(Node.js)、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单(SBOM)。

图1 OpenSCA支持的编程语言

一.OpenSCA使用方法及技术原理

1. 轻量级零成本安装使用

开发人员在写代码时需要全面思考、高效设计并快速迭代,因而希望工具易用性好、不拖慢开发节奏。

OpenSCA-cli是OpenSCA的命令行工具,支持在Windows/Linux/MacOS操作系统运行使用,部署简单,命令快捷。

云端在线检测:

可关联最新的漏洞数据,通过将本地解析的组件信息(不包含代码信息)上传至OpenSCA云平台进行漏洞库比对,识别组件的漏洞风险信息。

图2 在线检测命令示例

本地离线检测:

可以按照OpenSCA提供的漏洞库格式准备自己的漏洞库信息,无需将解析的组件信息传输到OpenSCA云平台,就可完成组件漏洞检测。

 图3 本地检测命令示例

检测结果格式:

支持将检测结果保存到指定文件,根据后缀生成不同格式的文件,默认为JSON格式;支持以SPDX格式展示SBOM清单,只需更换相应输出文件后缀。支持生成HTML格式的检测报告。

图4.1 检测命令示例

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值