OpenSCA是国内最早建立的开源SCA平台,继承了商业级的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘三方开源组件中潜藏的各类安全漏洞及开源协议风险。支持Java、JavaScript(Node.js)、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单(SBOM)。
图1 OpenSCA支持的编程语言
一.OpenSCA使用方法及技术原理
1. 轻量级零成本安装使用
开发人员在写代码时需要全面思考、高效设计并快速迭代,因而希望工具易用性好、不拖慢开发节奏。
OpenSCA-cli是OpenSCA的命令行工具,支持在Windows/Linux/MacOS操作系统运行使用,部署简单,命令快捷。
云端在线检测:
可关联最新的漏洞数据,通过将本地解析的组件信息(不包含代码信息)上传至OpenSCA云平台进行漏洞库比对,识别组件的漏洞风险信息。
图2 在线检测命令示例
本地离线检测:
可以按照OpenSCA提供的漏洞库格式准备自己的漏洞库信息,无需将解析的组件信息传输到OpenSCA云平台,就可完成组件漏洞检测。
图3 本地检测命令示例
检测结果格式:
支持将检测结果保存到指定文件,根据后缀生成不同格式的文件,默认为JSON格式;支持以SPDX格式展示SBOM清单,只需更换相应输出文件后缀。支持生成HTML格式的检测报告。
图4.1 检测命令示例
最低0.47元/天 解锁文章
扫一扫
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
