开源组件分析工具OpenSCA
软件简介
OpenSCA 是一款开源的软件成分分析工具,用来扫描项目的第三方组件依赖及漏洞信息。
作为悬镜安全旗下源鉴 OSS 开源威胁管控产品 (opens new window) 的开源版本,OpenSCA 继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,保障应用开源组件引入的安全。官方地址:https://opensca.xmirror.cn/
应用场景
安全开发
- OpenSCA 开源的 IDE 开源风险检测插件,帮助个人 / 企业开发者快速定位并修复漏洞
- 开发人员友好,轻量级低成本零门槛安装
- 企业级 SCA 核心引擎,支持二次开发
安全测试
- 产品第三方开源组件的安全测试
- 提高软件产品安全性,防止应用带病上线
安全管理
- 第三方组件及供应商软件的安全准入
- 企业内部安全组件库的建立
- 软件或组件资产可视化清单梳理
- 安全部门合规审查及相关开源治理工作
项目地址
https://gitee.com/XmirrorSecurity/OpenSCA-cli
下载安装
方法1:
下载opensca的源代码到本地
git clone https://gitee.com/XmirrorSecurity/OpenSCA-cli.git opensca
如果是在Windows系统安装需要安全git:
https://git-scm.com/download/win
安装以后在gitbash输入命令:
cd opensca
go work init cli analyzer util