项目作者
作者:OpenSCA项目组
联系方式
- 官网:opensca.xmirror.cn
- QQ技术交流群:832039395
- 官方邮箱:opensca@anpro-tech.com
- 微信公众号:OpenSCA社区
项目介绍
输出开源组件及漏洞清单,为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。
检测能力
OpenSCA现已支持以下编程语言相关的配置文件解析及对应的包管理器,后续会逐步支持更多的编程语言,丰富相关配置文件的解析。
| 支持语言 | 包管理器 | 解析文件 |
|---|---|---|
Java | Maven | pom.xml |
Java | Gradle | .gradle .gradle.kts |
JavaScript | Npm | package-lock.json package.json yarn.lock |
PHP | Composer | composer.json composer.lock |
Ruby | gem | gemfile.lock |
Golang | gomod | go.mod go.sum |
Rust | cargo | Cargo.lock |
Erlang | Rebar | rebar.lock |
Python | Pip | Pipfile Pipfile.lock setup.py requirements.txt requirements.in (后两者的解析需要具备pipenv环境,需要联网。) |
常见问题
使用OpenSCA需要配置环境变量吗?
不需要。解压后直接在命令行或终端工具中执行对应命令即可开始检测。
OpenSCA目前支持哪些漏洞库呢?
OpenSCA支持自主配置本地漏洞库,需要按照漏洞库文件格式配置。
同时OpenSCA提供云漏洞库服务,兼容NVD、CNVD、CNNVD等官方漏洞库。
使用OpenSCA检测时,检测速度与哪些因素有关?
检测速度与压缩包大小、网络状况和检测语言有关,通常情况下会在几秒到几分钟。
v1.0.11开始在默认逻辑中新增了阿里云镜像库作为maven官方库的备用,解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10及更低版本使用时如遇检测速度异常慢、日志文件中有maven连接失败报错,v1.0.6-v1.0.10可在配置文件config.json中将“maven”字段作如下设置:
{
"maven": [
{
"repo": "https://maven.aliyun.com/repository/public",
"user": "",
"password": ""
}
]
}
设置完毕后,确保配置文件和opensca-cli在同一目录下,执行opensca-cli检测命令加上-config congif.json即可,示例:
opensca-cli -url https://opensca.xmirror.cn -token {token} -path {path} -out output.html -config config.json
v1.0.5及更低版本需要自行修改源码配置镜像库地址,建议升级到更高版本。
关于我们
渠成开源社区由禅道软件(青岛)有限公司举办的青岛渠成开源计算机网络技术研究中心运营,是从事非营利性社会服务活动的社会组织。
渠成开源社区主要面向一线开源软件生产者、贡献者、组织者、赞助商和用户,以解决具体实际问题为宗旨,旨在打造以开源软件为核心纽带的开源生态系统,主要职能是帮助中国开源软件做商业化运营。渠成开源中心团队既有20多年的开源软件商业化操盘经验,也有13年的公司经营经验,深谙开源社区的各种游戏规则,又有丰富的客户交付经验。既有民非组织的非营利属性,又有经营主体的灵活性。
