欢迎OpenSCA加入渠成开源社区！ - 开源动态

摘要：输出开源组件及漏洞清单，为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。

项目作者

作者：OpenSCA项目组

联系方式

官网：https://opensca.xmirror.cn
QQ技术交流群：832039395
官方邮箱：opensca@anpro-tech.com

微信公众号：OpenSCA社区

项目介绍

输出开源组件及漏洞清单，为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。

检测能力
OpenSCA现已支持以下编程语言相关的配置文件解析及对应的包管理器，后续会逐步支持更多的编程语言，丰富相关配置文件的解析。

支持语言	包管理器	解析文件
`Java`	`Maven`	`pom.xml`
`Java`	`Gradle`	`.gradle` `.gradle.kts`
`JavaScript`	`Npm`	`package-lock.json` `package.json` `yarn.lock`
`PHP`	`Composer`	`composer.json` `composer.lock`
`Ruby`	`gem`	`gemfile.lock`
`Golang`	`gomod`	`go.mod` `go.sum`
`Rust`	`cargo`	`Cargo.lock`
`Erlang`	`Rebar`	`rebar.lock`
`Python`	`Pip`	`Pipfile` `Pipfile.lock` `setup.py` `requirements.txt` `requirements.in` （后两者的解析需要具备pipenv环境，需要联网。）

常见问题
使用OpenSCA需要配置环境变量吗？
不需要。解压后直接在命令行或终端工具中执行对应命令即可开始检测。
OpenSCA目前支持哪些漏洞库呢？
OpenSCA支持自主配置本地漏洞库，需要按照漏洞库文件格式配置。

同时OpenSCA提供云漏洞库服务，兼容NVD、CNVD、CNNVD等官方漏洞库。
使用OpenSCA检测时，检测速度与哪些因素有关？
检测速度与压缩包大小、网络状况和检测语言有关，通常情况下会在几秒到几分钟。
v1.0.11开始在默认逻辑中新增了阿里云镜像库作为maven官方库的备用，解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10及更低版本使用时如遇检测速度异常慢、日志文件中有maven连接失败报错，v1.0.6-v1.0.10可在配置文件config.json中将“maven”字段作如下设置：

{
    "maven": [
        {
            "repo": "https://maven.aliyun.com/repository/public",
            "user": "",
            "password": ""
        }
    ]
}

设置完毕后，确保配置文件和opensca-cli在同一目录下，执行opensca-cli检测命令加上-config congif.json即可，示例：

opensca-cli -url https://opensca.xmirror.cn -token {token} -path {path} -out output.html -config config.json

v1.0.5及更低版本需要自行修改源码配置镜像库地址，建议升级到更高版本。

关于我们

渠成开源社区由禅道软件（青岛）有限公司举办的青岛渠成开源计算机网络技术研究中心运营，是从事非营利性社会服务活动的社会组织。

渠成开源社区主要面向一线开源软件生产者、贡献者、组织者、赞助商和用户，以解决具体实际问题为宗旨，旨在打造以开源软件为核心纽带的开源生态系统，主要职能是帮助中国开源软件做商业化运营。渠成开源中心团队既有20多年的开源软件商业化操盘经验，也有13年的公司经营经验，深谙开源社区的各种游戏规则，又有丰富的客户交付经验。既有民非组织的非营利属性，又有经营主体的灵活性。