欢迎OpenSCA加入渠成开源社区!

2023-10-25 09:00:00
晓彤
原创
70
摘要:输出开源组件及漏洞清单,为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。

项目作者

作者:OpenSCA项目组

联系方式

官网:https://opensca.xmirror.cn
QQ技术交流群:832039395
官方邮箱:opensca@anpro-tech.com

微信公众号:OpenSCA社区


项目介绍

输出开源组件及漏洞清单,为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。

检测能力
OpenSCA现已支持以下编程语言相关的配置文件解析及对应的包管理器,后续会逐步支持更多的编程语言,丰富相关配置文件的解析。

支持语言 包管理器 解析文件
Java Maven pom.xml
Java Gradle .gradle .gradle.kts
JavaScript Npm package-lock.json package.json yarn.lock
PHP Composer composer.json composer.lock
Ruby gem gemfile.lock
Golang gomod go.mod go.sum
Rust cargo Cargo.lock
Erlang Rebar rebar.lock

Python

Pip

Pipfile Pipfile.lock setup.py requirements.txt requirements.in (后两者的解析需要具备pipenv环境,需要联网。)



常见问题
使用OpenSCA需要配置环境变量吗?
不需要。解压后直接在命令行或终端工具中执行对应命令即可开始检测。
OpenSCA目前支持哪些漏洞库呢?
OpenSCA支持自主配置本地漏洞库,需要按照漏洞库文件格式配置。

同时OpenSCA提供云漏洞库服务,兼容NVD、CNVD、CNNVD等官方漏洞库。
使用OpenSCA检测时,检测速度与哪些因素有关?
检测速度与压缩包大小、网络状况和检测语言有关,通常情况下会在几秒到几分钟。
v1.0.11开始在默认逻辑中新增了阿里云镜像库作为maven官方库的备用,解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10及更低版本使用时如遇检测速度异常慢、日志文件中有maven连接失败报错,v1.0.6-v1.0.10可在配置文件config.json中将“maven”字段作如下设置:
{
    "maven": [
        {
            "repo": "https://maven.aliyun.com/repository/public",
            "user": "",
            "password": ""
        }
    ]
}

设置完毕后,确保配置文件和opensca-cli在同一目录下,执行opensca-cli检测命令加上-config congif.json即可,示例:

opensca-cli -url https://opensca.xmirror.cn -token {token} -path {path} -out output.html -config config.json

v1.0.5及更低版本需要自行修改源码配置镜像库地址,建议升级到更高版本。


关于我们

渠成开源社区由禅道软件(青岛)有限公司举办的青岛渠成开源计算机网络技术研究中心运营,是从事非营利性社会服务活动的社会组织。

渠成开源社区主要面向一线开源软件生产者、贡献者、组织者、赞助商和用户,以解决具体实际问题为宗旨,旨在打造以开源软件为核心纽带的开源生态系统,主要职能是帮助中国开源软件做商业化运营。渠成开源中心团队既有20多年的开源软件商业化操盘经验,也有13年的公司经营经验,深谙开源社区的各种游戏规则,又有丰富的客户交付经验。既有民非组织的非营利属性,又有经营主体的灵活性。
文章分类
联系我们
百度统计