- 博客(4)
- 收藏
- 关注
RSS订阅原创 SBOM生成和转换
SBOM清单可以用来管理软件项目中的组件资产,包括第三方开源组件及自研组件。当前较为常用的国际通用SBOM格式有SPDX和Cyclonedx两种。二者结构不同,对应的结构也略有不同。SPDX是已经有一个ISO标准了,另一个目前还没有。体感SPDX比较关注许可信息,CDX场景更多。由于漏洞信息是动态更新的,常见的做法是生成一个SBOM之后如果源码不再变动,之后就用这个SBOM为材料来定期检测漏洞情况。这两种格式的生成转换有很多工具都支持,出于成本考量用了一个开源工具来做。Saas版的话可以不用敲命令行。
2024-03-25 14:20:02
259
原创 开源许可证简单可视化处理
在此案例中,罗盒公司独立研发并持有GPL3.0许可证的VirtualApp V1.0插件化框架虚拟引擎系统,在发现福建风灵公司的“点心桌面”软件未经授权使用了高度相似的源代码后,提起诉讼。法院判决支持罗盒公司的诉求,判定风灵公司需赔偿50万元,并强调了遵循GPL3.0开源许可证的重要性,以确保开源软件生态的健康发展和权利人的合法权益,同时鼓励创新和知识的广泛传播。本案中,风灵公司由于未能遵守GPL3.0协议中的使用条件,导致其依据该协议获得的源代码授权自动解除,从而构成了对罗盒公司作品的侵权行为。
2024-03-18 15:45:55
345
转载 国内外开源SCA评测搬运
在AtomGit发现的好东西,分享出来供参考以下为搬运(非全文,建议直接码住原仓库文档,有很详细的指标选取及用例细节,很有价值):本文件夹内容为开放原子基金会开源SCA工具评测项目,本轮评测工作由统信软件、百度、阿里、绿盟共同完成。每一个testcase可对应评测框架中的多个指标项,correct.json是其正确结果的描述,当工具能正确解析该testcase(并得到正确的漏洞结果)时通过该testcase。
2024-03-11 14:41:26
106
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人