技术文档 | 在Jenkins及GitlabCI中集成OpenSCA，轻松实现CI/CD开源风险治理

最新推荐文章于 2025-08-18 23:39:01 发布

原创

最新推荐文章于 2025-08-18 23:39:01 发布 · 735 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#jenkins #ci/cd #运维 #开源

本文介绍了如何在Jenkins和GitLabCI中集成OpenSCA-cli，包括在不同平台上的安装方法，以及在自由风格和流水线项目中使用OpenSCA进行安全扫描并生成报告的过程。

插播：

OpenSCA-cli 现支持通过 homebrew 以及 winget 安装：

Mac/Linux

brew install opensca-cli

Windows

winget install opensca-cli

总有小伙伴问起如何在CI/CD中集成OpenSCA，文档它这不就来啦~

若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~

Jenkins

在 Jenkins 中集成 OpenSCA，需要在 Jenkins 构建机器中安装 OpenSCA-cli。OpenSCA-cli 支持主流的操作系统，包括 Windows、Linux、MacOS，亦可通过 Docker 镜像运行。

Freestyle Project

对于自由风格的项目，可以通过在构建步骤中添加 Execute shell 或 Execute Windows batch command 来执行 OpenSCA-cli。

以 Execute shell 为例：

# install opensca-cli
curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh
# export opensca-cli to PATH
export PATH=/var/jen

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

OpenSCA社区

关注关注

7
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

开源软件成分检测工具丨OpenSCA使用攻略

分享软件供应链安全最新技术与最佳实践

02-18

3185

与传统的企业版SCA工具相比，OpenSCA展现了独特的优势。轻量级、易于使用，同时具备完整的功能，支持漏洞库、私服库的自主配置，能够适应IDE、命令行、云平台等多种使用场景。

持续集成/持续部署CI/CD实战：Jenkins与GitLab CI

shejizuopin的博客

03-29

740

持续集成（CI）开发人员频繁地将代码集成到主干分支。每次集成都触发自动化构建和测试，以尽早发现和修复错误。持续部署（CD）在CI的基础上，自动将通过测试的代码部署到生产环境，使软件能够快速交付给用户。Jenkins开源的自动化服务器，广泛用于实现CI/CD。支持多种操作系统和平台，拥有丰富的插件生态系统。GitLab CIGitLab内置的CI/CD工具，提供了从代码管理到部署的一体化解决方案。与GitLab无缝集成，支持代码管理、问题跟踪和CI/CD。

参与评论您还未登录，请先登录后发表或查看评论

2025开源组件安全工具推荐OpenSCA

软件供应链安全选型指南

07-17

1833

不同于传统企业版 SCA 工具，OpenSCA 轻量易用、能力完整，支持漏洞库、私服库等自主配置，覆盖IDE/命令行/云平台、离线/在线等多种使用场景，支持Java、JavaScript（Node.js）、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单（SBOM），可灵活地接入开发流程，为企业、组织及个人用户输出透明化的组件资产及风险清单。但企业发现的实际漏洞中有70%-85%不是致命漏洞，因为企业的专有软件不会调用存在这些漏洞的组件。

从开发到部署：OpenSCA-cli全链路集成与扩展指南

最新发布

gitblog_00676的博客

08-18

1116

你是否还在为软件供应链安全而烦恼？作为开发人员，你是否希望在开发过程中就能及时发现并解决开源组件的安全问题？作为DevOps工程师，你是否正在寻找一种方法将安全扫描无缝集成到CI/CD流程中？本文将为你提供一个全面的OpenSCA-cli集成与扩展指南，帮助你在软件开发生命周期的各个阶段实现高效的开源组件安全管理。读完本文，你将能够： - 在主流IDE中集成OpenSCA-cli，实现开发阶段...

甲方安全建设之研发安全-SCA

蚁景网安学院

04-08

1252

大多数企业或多或少的会去采购第三方软件，或者研发同学在开发代码时，可能会去使用一些好用的软件包或者依赖包，但是如果这些包中存在恶意代码，又或者在安装包时不小心打错了字母安装了错误的软件包，则可能出现供应链攻击。

免费SCA工具横向测评

cenlois的博客

05-16

5047

免费SCA工具该如何选择呢？~

2 持续集成：GitLab CI/CD 与 Jenkins CI/CD 的全面剖析

Maggie8888888888的博客

04-08

1344

GitLab CI/CD 是 GitLab 平台自带的持续集成和持续部署解决方案。GitLab 作为一个功能强大的代码托管平台，集成了版本控制、代码审查、问题跟踪等多种功能。GitLab CI/CD 紧密结合这些特性，用户只需在项目根目录下创建一个文件，即可定义项目的 CI/CD 流水线。该文件使用 YAML 格式，清晰地描述了从代码拉取、构建、测试到部署的各个阶段和步骤。同时，GitLab 提供了可视化的界面，方便用户监控和管理流水线的执行情况。Pipeline 是持续集成和持续部署过程中的核心概念，

阅读 - Jenkins 和 GitLab CI/CD的介绍

qq_57093716的博客

03-28

701

先了解

【嵌入式开发】基于Jenkins+GitLab的高效CI/CD流水线搭建：提升代码管理与自动化部署效率

06-01

内容概要：本文详细介绍了如何利用 Jenkins 和 GitLab 搭建嵌入式 CI/CD 流水线，以提高开发效率、减少人为错误、增强软件质量和团队协作能力。文章首先阐述了嵌入式开发面临的挑战以及 CI/CD 流水线的作用，接着...

【限时免费】【保姆级超详细还免费（OpenSCA-cli）新手指导】

gitblog_01424的博客

08-03

432

【保姆级超详细还免费（OpenSCA-cli）新手指导】【免费下载链接】OpenSCA-cli OpenSCA 是一款开源的软件成分分析工具，用于扫描项目的开源组件依赖、漏洞及许可证信息，为企业及个人用户提供低成本、高精度、稳定易用的开源软件供应链安全解决方案。 ...

OpenSCA是一款开源的软件成分分析工具，用来扫描项目的第三方开源组件依赖及漏洞信息

04-25

OpenSCA是一款开源的软件成分分析工具，用来扫描项目的第三方开源组件依赖及漏洞信息

今日热门项目推荐：OpenSCA-cli - 用开源守护开源的安全卫士

gitblog_01422的博客

08-08

752

技术文档 | 使用 OpenSCA 批量扫描 Gitlab 仓库，盘点资产安心过节

OpenSCACommunity的博客

02-29

643

按照下述教程快速批量扫描您的仓库，一旦新的攻击或0Day出现，通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。-Windows（需要 PowerShell）- Windows （通过 Winget 安装）- Windows （通过 Scoop 安装）- MacOS/Linux （通过 Homebrew 安装）从GitHub或Gitee仓库下载对应系统和处理器架构的压缩包，解压到任意目录即可使用。

开源组件漏洞检查工具实践分析

发现问题，面对问题，分析问题，解决问题，总结问题

08-28

4935

开源软件安全检测工具。该工具主要提供如下功能：【代码安全检测】：识别您代码项目中存在的开源组件安全漏洞，并快速修复它。【许可证合规评估】：识别您代码项目中使用的开源组件许可证，检查合规的风险。【软件成分分析】：识别您代码和基础环境中的三方组件依赖资产，并有效管理。支持语言：目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...

SCA(软件成分分析)学习

weixin_49528190的博客

08-09

218

学习SCA选型过程

GitLab CI/CD使用runner实现自动化部署前端Vue2 后端.Net 7 Zr.Admin项目

qq1326702940的博客

01-12

1197

建议安装的runner版本和gitlab保持一致。

gitlab（骨灰级入门）