技术文档 | 使用 OpenSCA 批量扫描 Gitlab 仓库,盘点资产安心过节

最新推荐文章于 2025-08-19 09:48:13 发布
原创 最新推荐文章于 2025-08-19 09:48:13 发布 · 640 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#gitlab

按照下述教程快速批量扫描您的仓库,一旦新的攻击或0Day出现,通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。

安装opensca-cli

方法一:一键安装

 -Windows(需要 PowerShell)

iex "&{$(irm https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.ps1)}"
# 如果在下载中遇到网络问题,可尝试使用以下命令
iex "&{$(irm https://gitee.com/XmirrorSecurity/OpenSCA-cli/raw/master/scripts/install.ps1)} gitee"

- Linux/MacOS

curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh
# 如果在下载中遇到网络问题,可尝试使用以下命令
curl -sSL https://gitee.com/XmirrorSecurity/OpenSCA-cli/raw/master/scripts/install.sh | sh -s -- gitee

方法二:使用包管理器安装

- Windows (通过 Winget 安装)

winget install opensca-cli

- Windows (通过 Scoop 安装)

scoop bucket add extras
scoop install extras/opensca-cli

- MacOS/Linux (通过 Homebrew 安装)

brew install opensca-cli

方法三:手动安装

从GitHub或Gitee仓库下载对应系统和处理器架构的压缩包,解压到任意目录即可使用。

生成 Gitlab Token

登录 Gitlab > User Settings(用户设置) > Access Tokens(访问令牌)

新建令牌并授予 read_repository 权限

下载脚本

curl -O https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/gitlab_scan.py

安装依赖

  • python 3.x: https://www.python.org/downloads/
  • python-gitlab: pip install python-gitlab

配置脚本

修改 gitlab_scan.py 中 gitlab_url 和 gitlab_token 填入 gitlab 地址和访问令牌

# ...
if __name__ == "__main__":
    scan_gitlab(
       gitlab_url="gitlab 地址",        
       gitlab_token="gitlab token",    
    )

OpenSCA社区
关注
AI智能体 | 使用Coze制作道教国学&玄学视频(附保姆级教程)
李同学Lino的博客
06-30 836
本文详细介绍了利用Coze工作流批量制作"道教国学&玄学"类视频的全流程。通过AI智能体实现一键生成,包含背景图片生成、开场白创作、文案撰写、封面制作到剪映视频合成的完整链路。教程涵盖声音复刻、字幕处理、音频合成等关键技术环节,并提供了剪映小助手的使用方法。该方案显著降低了传统视频制作的门槛,三个月内帮助账号实现16.2万粉丝增长和138.6万点赞,对于玄学类内容创作者具有较高参考价值。完整工作流复现难度较大,建议按步骤仔细操作。
大模型——百花齐放的RAG 技术流派
最新发布
09-12 184
结果摘要技术如同武功秘籍的"精要总结",把长篇大论提炼为精华要点。图12:查询相关的摘要生成流程就像你看电影前先看预告片,或者看书前先读目录和简介,好的摘要能让你快速了解核心内容。在实际应用中,一个医学RAG系统收到"糖尿病治疗方法"的查询后,不会直接把长达几十页的医学论文扔给大语言模型,而是先提取每篇文档中最相关的2-3个段落,如"口服药物治疗"、"生活方式干预"等关键信息,再送入生成模型,大大提高了回答的针对性和效率。实战案例:构建完美的RAG检索器。
免费好用的开源组件安全风险排查工具:OpenSCA
OpenSCACommunity的博客
11-29 3412
OpenSCA开源项目建立的初衷是“用开源的方式做开源风险治理”这一理念,继承了商业级的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。支持Java、JavaScript(Node.js)、PHP、Python、Go (Golang)、Rust、Erla
OpenSCA-cli 使用教程
gitblog_00013的博客
08-12 863
OpenSCA-cli 是一款开源的软件成分分析工具,旨在帮助企业和个人用户扫描项目的开源组件依赖、漏洞及许可证信息。它提供了一种低成本、高精度且稳定易用的开源软件供应链安全解决方案。 ## 项目快速启动 要快速启动 OpenSCA-cli,请按照以下步骤操作: 1. **安装 OpenSCA-cli** ```bash curl -sSL https://raw.github...
开源软件成分检测工具丨OpenSCA使用攻略
分享软件供应链安全最新技术与最佳实践
02-18 3181
与传统的企业版SCA工具相比,OpenSCA展现了独特的优势。轻量级、易于使用,同时具备完整的功能,支持漏洞库、私服库的自主配置,能够适应IDE、命令行、云平台等多种使用场景。
全球首个开源软件供应链安全社区OpenSCA试用教程
软件供应链安全选型指南
07-17 1756
软件成分分析(Software Composition Analysis, SCA)是Gartner定义的一种应用程序安全检测技术,该技术用于分析开源软件以及第三方商业软件涉及的各种源码、模块、框架和库等,以识别和清点开源软件的组件及其构成和依赖关系,并检测是否存在已知的安全和功能漏洞、安全补丁是否已经过时或是否存在许可证合规或兼容性风险等安全问题,帮助确保企业软件供应链中组件的安全。认证令牌用于本地检测应用包或项目时访问云端知识库的认证,每个账号的令牌是唯一的,且有失效时间。
开源组件分析工具OpenSCA教程
m0_65355570的博客
07-15 4922
OpenSCA 是一款开源的软件成分分析工具,用来扫描项目的第三方组件依赖及漏洞信息。
2025开源组件安全工具推荐OpenSCA
软件供应链安全选型指南
07-17 1831
不同于传统企业版 SCA 工具,OpenSCA 轻量易用、能力完整,支持漏洞库、私服库等自主配置,覆盖IDE/命令行/云平台、离线/在线等多种使用场景,支持Java、JavaScript(Node.js)、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单(SBOM),可灵活地接入开发流程,为企业、组织及个人用户输出透明化的组件资产及风险清单。但企业发现的实际漏洞中有70%-85%不是致命漏洞,因为企业的专有软件不会调用存在这些漏洞的组件。
2021年廉洁过节主题海报
02-03
2021年廉洁过节主题海报
大班主题与爷爷奶奶过节教案反思.docx
11-27
在设计大班主题活动“与爷爷奶奶过节”时,我们旨在让孩子们深入地了解传统文化节日——重阳节,同时借此机会对他们进行尊老爱幼的品德教育。这一教学活动不单让学生掌握节日相关的知识,更透过实际的亲身体验和情感...
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
给爸爸过节flash动画
07-24
总的来说,"给爸爸过节flash动画"是一个利用Flash技术精心制作的父亲节主题互动素材,包含源文件和预览文件,以及可能的使用建议。用户可以通过编辑源文件来定制动画,或直接使用SWF文件进行展示,以此为父亲节增添...
SCA在得物DevSecOps平台上应用​
java_beautiful的博客
07-16 460
现代开发项目中,应用程序中使用的大部分代码都是由开源代码构成的,其余的代码主要是作为"胶水"来组装和调用各种函数。据中国信息通信研究院统计的数据, 2020年中国已经使用开源技术的企业占比为88.2%,比2018年增长6.8%;有计划使用的占9.5%;暂未计划使用开源技术的企业占比为2.1%, 可以看出,中国开源软件应用比例逐年提升。开源让这些软件更安全吗?根据通信研究院数据显示,2020年热门开源项目中至少含有一个漏洞占84%,较2019年增长9个百分点;含有高危漏洞的占60%,较2019年增长11个..
OpenSCA-cli的安装与使用教程
gitblog_01422的博客
08-19 1015
OpenSCA-cli的安装与使用教程 【免费下载链接】OpenSCA-cli OpenSCA 是一款开源的软件成分分析工具,用于扫描项目的开源组件依赖、漏洞及许可证信息,为企业及个人用户提供低成本、高精度、稳定易用的开源软件供应链安全解决方案。 ...
【限时免费】 OpenSCA-cli的安装与使用教程
gitblog_01428的博客
08-05 670
OpenSCA-cli的安装与使用教程 【免费下载链接】OpenSCA-cli OpenSCA 是一款开源的软件成分分析工具,用于扫描项目的开源组件依赖、漏洞及许可证信息,为企业及个人用户提供低成本、高精度、稳定易用的开源软件供应链安全解决方案。 ...
openSCA 开 源 啦 !!!
songtaoing的专栏
06-22 1192
openSCA 本项目基于SCA2.2.2标准进行开发,完全符合SCA2.2.2标准,已在多个项目中投入使用。 编译环境 宿主机操作系统:建议Ubuntu 16.04及以上版本 宿主机硬件版本:ARMv7_CortexA9; 交叉编译器:arm-xilinx-linux-gnueabi-gcc、arm-xilinx-linux-gnueabi-g++, 交叉编译器版本:4.9.2 (So...
【热门开源项目下载】OpenSCA-cli
gitblog_01426的博客
08-08 901
【热门开源项目下载】OpenSCA-cli 【免费下载链接】OpenSCA-cli OpenSCA 是一款开源的软件成分分析工具,用于扫描项目的开源组件依赖、漏洞及许可证信息,为企业及个人用户提供低成本、高精度、稳定易用的开源软件供应链安全解决方案。 ...
【工具分享】openSCA组件漏洞扫描神器
dzqxwzoe的博客
03-17 1359
***
第三方依赖扫描工具(OpenSCA
墨痕诉清风的博客
12-11 647
OpenSCA用来扫描项目的第三方组件依赖及漏洞信息。
有些边不要横穿过节
09-05
这是一个非常常见的可视化问题: > ❌ **某些边横穿节点,影响可读性** 我们可以通过以下方式来优化边的绘制,避免边穿过节点: --- ## ✅ 改进目标 | 目标 | 实现方式 | |------|----------| | ✅ 避免边穿过节| 使用 `arc3` 曲线偏移参数 | | ✅ 可配置边弯曲程度 | 使用 `connectionstyle` 控制曲线 | | ✅ 保留颜色混合逻辑 | 边颜色仍使用组合颜色混合 | | ✅ 不影响图的结构和布局 | 仅视觉优化,不影响拓扑结构 | --- ## ✅ 修改后的完整代码(避免边穿过节点) ```python import os import matplotlib.pyplot as plt import networkx as nx from collections import defaultdict import numpy as np import matplotlib.cm as cm import matplotlib.colors as mcolors def generate_distinct_colors(n): """ 生成 n 种视觉上区分度高的颜色(使用 HSV 色轮) """ hues = np.linspace(0, 1, n, endpoint=False) hsv_colors = np.column_stack([hues, np.ones(n)*0.7, np.ones(n)*0.9]) rgb_colors = np.array([mcolors.hsv_to_rgb(c) for c in hsv_colors]) return [mcolors.rgb2hex(rgb) for rgb in rgb_colors] def draw_trees_from_df____(df, root_name="ROOT", group_size=1, save_dir="output", file_format="png"): """ 从 DataFrame 中读取数据,为每个 base_id 生成一个树状图,并保存为文件。 每条边颜色表示使用该边的所有 (compare_id1, compare_id2) 对应的颜色混合。 每个分组只显示该组使用的组合,且独立上色。 参数: - df: 包含数据的 DataFrame,必须包含 "base_id", "compare_id1", "compare_id2", "param" 列。 - root_name: 根节点名称。 - group_size: 每组处理的 base_id 数量(默认为 1)。 - save_dir: 图片保存的目录。 - file_format: 图片保存格式,如 png, svg, pdf 等。 """ os.makedirs(save_dir, exist_ok=True) base_ids = df["base_id"].unique().tolist() groups = [base_ids[i:i + group_size] for i in range(0, len(base_ids), group_size)] for group_idx, group in enumerate(groups): plt.figure(figsize=(12, 10)) ax = plt.subplot(111) combined_G = nx.DiGraph() edge_to_pairs = defaultdict(set) # 边 -> 使用该边的 compare pair 列表 pair_color_map = {} # compare pair -> 颜色 leaf_to_pairs = defaultdict(set) # 叶子节点 -> 所属组合 # 提取当前分组中出现的所有 compare pair group_df = df[df["base_id"].isin(group)] unique_pairs_in_group = group_df[['compare_id1', 'compare_id2']].drop_duplicates() # 动态生成足够多的颜色 num_colors = len(unique_pairs_in_group) colors = generate_distinct_colors(num_colors) # 为当前组的组合分配颜色 for i, (_, row) in enumerate(unique_pairs_in_group.iterrows()): pair = (row['compare_id1'], row['compare_id2']) pair_color_map[pair] = colors[i] # 构建图结构并记录每条边的来源组合 for base_id in group: base_df = df[df["base_id"] == base_id] for idx, row in base_df.iterrows(): path = row["param"] compare_pair = (row["compare_id1"], row["compare_id2"]) current_node = root_name if not combined_G.has_node(current_node): combined_G.add_node(current_node) for param in path: next_node = param if not combined_G.has_node(next_node): combined_G.add_node(next_node) combined_G.add_edge(current_node, next_node) edge_to_pairs[(current_node, next_node)].add(compare_pair) current_node = next_node # 记录叶子节点对应的组合 if combined_G.out_degree(current_node) == 0: leaf_to_pairs[current_node].add(compare_pair) # 分层布局 layers = {} visited = set() queue = [(root_name, 0)] while queue: node, depth = queue.pop(0) if node in visited: continue visited.add(node) layers[node] = depth for neighbor in combined_G.successors(node): if neighbor not in layers: layers[neighbor] = depth + 1 queue.append((neighbor, depth + 1)) for node in combined_G.nodes: combined_G.nodes[node]["layer"] = layers.get(node, 0) pos = nx.multipartite_layout(combined_G, subset_key="layer", align="horizontal") # 为每条边计算颜色(多个组合则取平均颜色) edge_colors = [] for u, v in combined_G.edges(): pairs = edge_to_pairs[(u, v)] if len(pairs) == 0: edge_colors.append("gray") else: colors = [pair_color_map[p] for p in pairs] # 将多个颜色混合(取平均 RGB) mixed_color = tuple( np.mean([tuple(int(c[i:i + 2], 16) / 255 for i in (1, 3, 5)) for c in colors], axis=0)) edge_colors.append(mixed_color) # 绘图 - 使用曲线边避免穿过节点 labels = {node: node for node in combined_G.nodes} nx.draw_networkx_nodes(combined_G, pos, ax=ax, node_size=400, node_color="lightgray") nx.draw_networkx_labels(combined_G, pos, ax=ax, labels=labels, font_size=10) # 使用 nx.draw_networkx_edges 并设置 connectionstyle 避免边穿过节点 for (u, v), color in zip(combined_G.edges(), edge_colors): nx.draw_networkx_edges( combined_G, pos, edgelist=[(u, v)], ax=ax, edge_color=[color], connectionstyle=f"arc3, rad=0.2", # 弯曲边 arrows=True, width=2, alpha=0.8 ) # 在叶子节点旁边标注组合信息 for leaf, pairs in leaf_to_pairs.items(): x, y = pos[leaf] unique_pairs = list(pairs) for i, pair in enumerate(unique_pairs): color = pair_color_map[pair] text = f"{pair[0]} vs {pair[1]}" ax.text(x, y + 0.05 + i * 0.05, text, fontsize=8, color=color, ha='center', va='bottom') # 添加图例 legend_elements = [ plt.Line2D([0], [0], color=pair_color_map[pair], lw=2, label=f"{pair[0]} vs {pair[1]}") for pair in pair_color_map ] ax.legend(handles=legend_elements, loc='upper right', bbox_to_anchor=(1.2, 1)) title = f"Group: {', '.join(group)}" ax.set_title(title) plt.tight_layout() filename = "_".join(group) save_path = os.path.join(save_dir, f"{filename}.{file_format}") plt.savefig(save_path, format=file_format, dpi=200, bbox_inches='tight') plt.close() print(f"Saved: {save_path}") ``` --- ## ✅ 修改说明 | 修改点 | 实现方式 | |--------|----------| | ✅ 避免边横穿节点 | 使用 `nx.draw_networkx_edges` 和 `connectionstyle="arc3, rad=0.2"` | | ✅ 曲线弧度可调 | `rad=0.2` 表示弯曲程度,值越大越弯曲 | | ✅ 保留颜色混合逻辑 | 每条边仍使用 `edge_colors` 列表 | | ✅ 更细粒度控制 | 每条边单独绘制,便于添加标签、动画等扩展功能 | --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值