安全工具 | SCA工具ScanOSS介绍、安装及使用技巧

已于 2024-05-20 07:31:30 修改
阅读量2.3k 收藏 24
点赞数 9
分类专栏: 安全工具 开源治理 文章标签: SCA 软件成分分析
于 2024-05-19 22:05:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013129300/article/details/139048080
版权

SCANOSS扫描报告界面

1. 概览

SCANOSS是第一个价格合理、完全开源的OSS组件和情报平台,专门为现代DevSecOps和供应链构建,使他们能够为DevSecOps团队及其供应链合作伙伴提供更大的许可证、安全性、质量和来源可见性和控制。通过让开发人员能够专注于编写他们和他们的团队完全信任的优秀、安全和兼容的代码,应用程序可以更早地完成,其质量始终更高,开发成本也大大降低。

开源版本知识库一般按季度更新,如果企业或组织想获取更快的更新,需要购买SCANOSS商业版本。

2. 关键特性

2.1. 识别已声明和未声明的OSS组件

SCANOSS生成软件材料清单(SBOM),提供有关软件应用程序中使用的开源软件组件的全面准确信息,包括Al生成的代码。它通过分析应用程序的源代码并创建所有使用的OSS组件的清单来实现这一点,包括已声明和未声明的组件:

  • 声明的组件是那些在源代码中明确列出的组件;
  • 而未声明的组件则是那些在代码中使用但未列出的组件。

通过使用代码指纹识别和机器学习等先进技术,SCANOSS可以识别这些未声明的组件,从而更全面地了解软件供应链,并降低OSS漏洞未被发现的风险。

2.2. 无与伦比的OSS风险可见性

开源软件(OSS)是现代软件开发不可或缺的一部分,它经常被用来加快开发速度和降低成本。然而,如果管理不当,开放源码软件也可能带来重大风险。通过SCANOSS,DevSecOps团队可以全面了解正在使用的开源组件,包括其许可证、漏洞、交易合规性和其他风险。

通过利用这些情报,团队可以对其软件供应链做出明智的决策,在开发过程的早期识别潜在风险,并采取行动缓解这些风险。这种方法允许更安全、更合规的软件开发,降低了代价高昂且具有破坏性的安全漏洞的可能性。

2.3. 连续组件识别和SBOM

2.4. 异常丰富的开源知识库

SCANOSS拥有市场上最大的开源知识库,拥有1.88亿个开源软件URL、1000亿个文件和超过3万亿行代码。这个广泛的数据库允许检测已声明和未声明的开源组件。SCANOSS通过其尖端的开源挖掘网络实现了这一令人印象深刻的壮举,该网络完全无人运行,并在新软件版本和组件发布时实时跟踪它们。

若想了解更多关于SCANOSS的细节,可以参阅如下官方文档:

在这里插入图片描述

3. 安装与使用

3.1. 安装使用:针对个人

如果仅是个人使用SCANOSS,最简单的方式是下载SBOM Workbench客户端,通过UI方式创建SCA扫描任务。

3.1.1. 安装

进行SCANOSS下载界面 https://www.softwaretransparency.org/download,根据自己的系统类型下载相应安装包。

3.1.2. 使用

SBOM Workbench使用非常简单,直接新建工程,导入待分析的代码目录或文件即可执行扫描。

扫描完成后可以看到扫描报告,扫描报告中包含了匹配的开源组件,许可证信息、漏洞信息

3.2. 安装使用:针对企业

企业在使用SCANOSS时要求将其集成到CI/CD流水线中,所以建议通过Docker镜像方式安装,安装完成后可以通过镜像方式公开调用CLI。

3.2.1. 安装

为了避免安装一堆依赖软件,破坏当前电脑的开发环境,我们采用docker镜像方式安装SCANOSS。可以通过如下命令拉取ScanOSS镜像:

docker pull ghcr.io/scanoss/scanoss-py:latest

3.2.2. 使用

Python CLI在映像中可公开调用,可以使用以下命令运行:

docker run -it ghcr.io/scanoss/scanoss-py

要扫描当前文件夹,请运行:

docker run -it -v "$(pwd)":"/scanoss" ghcr.io/scanoss/scanoss-py scan .

要将结果输出到文件运行,请执行以下操作(推荐):

docker run -it -v "$(pwd)":"/scanoss" ghcr.io/scanoss/scanoss-py scan -o results.json .

要将输出重定向到文件运行,请执行以下操作:

docker run -i -v "$(pwd)":"/scanoss" ghcr.io/scanoss/scanoss-py scan . > output.json

要扫描相关性并将结果输出到文件运行,请执行以下操作:

docker run -it -v "$(pwd)":"/scanoss" ghcr.io/scanoss/scanoss-py scan -D -o results.json .

执行完扫描后可以在代码目录中找到新生成的结果文件results.json


结果文件中包含了目标代码的所有匹配的开源组件详情,包含了匹配的组件名称、版本及匹配的相似度等信息。

4. 参考

[1] https://www.scanoss.com/
[2] https://www.softwaretransparency.org/osskb
[3] https://github.com/scanoss

推荐阅读:

在这里插入图片描述

SCA工具
百态老人的博客
12-18 898
SCA软件组合分析工具是现代软件开发中不可或缺的一部分,主要用于管理和分析开源组件的安全性和许可证合规性。这些工具通过自动化扫描分析代码库中的开源依赖项,帮助开发团队识别潜在的安全漏洞和许可证问题,从而提高软件安全性和合规性。SCA工具的核心功能包括生成软件物料清单(SBOM),这是对软件项目中所有开源组件及其依赖关系的全面目录清单。SBOM不仅有助于管理开源使用,还能在跨公司和社区共享时提供一致的信息格式。此外,SCA工具能够检测已知漏洞,并提供修复建议,以确保应用程序的安全性和可靠性。
quickscan:SCANOSS Quickscan是一个演示如何针对osskb.org扫描源代码的工具SCANOSS Quickscan针对代表整个OSS社区的知识库扫描源代码。 扫描结果包含针对OSS组件的已扫描代码的OSS匹配项(完整文件或摘要)
05-01
什么是SCANOSS Quickscan Lite? 它是一个演示如何针对扫描源代码的工具SCANOSS Quickscan针对代表整个OSS社区的知识库扫描源代码。 扫描结果包含OSS组件与OSS组件的已扫描代码的OSS匹配项(完整文件或摘要)。 它是如何工作的? 选择一个包含源代码文件的文件夹,应用程序将生成指纹并将其发送到OSSKB API进行扫描。 需要强调的是,没有源代码发送到osskb.org API。 客户端使用开源算法从源代码中提取哈希。 可以在以下找到有关算法及其实现的详细说明: : 。 快速扫描将显示一个简单的可视化图像,代表扫描结果中包含的数据。 如果单击许可证图表中的细分,将显示一个表格,其中包含已检测到特定许可证的组件列表。 同样,如果您在漏洞图表中单击严重性,您将看到受具有选定严重性的脆弱性影响的组件。 您也可以通过右上角的“下载报告”按钮以CS
SAP 开源 SCA 工具扫描软件包依赖漏洞
weixin_34409741的博客
03-19 298
百度智能云 云生态狂欢季 热门云产品1折起>>> 全球最大 ERP 供应商 SAP 近日宣布开源软件...
工具分享】openSCA组件漏洞扫描神器
最新发布
dzqxwzoe的博客
03-17 689
***
安全工具 | 软件成分分析工具Black Duck,业界排名TOP 1的SCA工具
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-18 5450
在现代的 DevOps 或 DevSecOps 环境中,SCA 激发了“左移”范式的采用。提早进行持续的 SCA 测试,使开发人员和安全团队能够在不影响安全性和质量的情况下提高生产力。前期在博文中介绍SCA的产生背景、技术原理及主流检测工具,本文结合博主对Black Duck工具的深度使用来展开介绍业界排名 Top 1 的Black Duck工具
免费SCA工具横向测评
cenlois的博客
05-16 4447
免费SCA工具该如何选择呢?~
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 4356
软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具
安全测试工具fortify使用指南
03-11
### 安全测试工具Fortify使用指南 #### 一、Fortify简介 Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术和工具,旨在帮助开发者和安全专家...
Fortify SCA(SourceCodeAnalysis)安装使用手册.docx
12-11
Fortify SCA(Source Code Analysis)安装使用手册 Fortify SCA 是一款功能强大的源代码分析工具,旨在帮助开发者和安全专家检测和修复代码中的安全漏洞。本文档提供了 Fortify SCA安装使用指南,旨在帮助...
Fortify SCA白盒安全测试工具安装使用指南
根据给定文件信息,本文将对Fortify SCA安装使用手册进行详细的知识点解读,以确保理解Fortify SCA工具的重要特性和使用方法。 ### 知识点一:Fortify SCA的定义和作用 **Fortify SCA**(Static Code Analyzer)...
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA,全称为Open Source Component Analysis,是一款强大的开源软件成分分析工具,旨在帮助开发者识别并管理项目中的第三方开源组件,以及这些组件可能存在的安全漏洞。在软件开发过程中,使用开源组件可以极大...
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
vulnerability-assessment-tool是一个软件组合分析SCA工具
08-08
vulnerability-assessment-tool 是一个软件组合分析SCA工具,它扫描 Java 和 Python 应用软件包中的直接依赖项和间接依赖项,检测出已知漏洞。
Fortify SCA 安装使用手册
07-31
FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册
engine:SCANOSS开源库存引擎
03-26
SCANOSS开源库存引擎 面向开发人员的首个开源库存引擎 SCANOSS是一个开放的,可配置的OSS清单引擎,专门为开发人员构建,使他们能够从开始编写之时就自信地生成兼容的代码,同时为更广泛的DevOps团队和供应链合作伙伴提供更大的许可证和使用情况可视性。 通过其易于集成到现有流程和工具链中的开放式体系结构,SCANOSS软件物料清单(SBOM)的创建从“立即编写,稍后审核”转变为实时代码实时分析。 通过使开发人员能够专注于编写他们和他们的团队可以完全信任的出色的合规代码,可以更早地完成应用程序的开发,质量始终如一地提高,并且开发成本大大降低。 设置 Scanoss引擎需要安装一个Knowledge数据库才能检索结果。 Scanoss使用SCANOSS LDB(链接列表数据库)作为共享库。 LDB源代码和安装指南可在上找到。知识数据库是使用SCANOSS挖掘工具(minr)增量构
SCA介绍及实例
05-24
在实际应用中,例如在上述的《SCA介绍及实例》文档中,可能会详细讲解如何使用SCA工具,比如Sonatype Nexus Lifecycle、WhiteSource、Black Duck等,进行实际的分析操作。这些工具通常提供集成到持续集成/持续部署...
带你掌握二进制SCA检测工具的短板及应对措施
华为云官方博客
12-27 1402
摘要:本文针对二进制SCA检测技术短板所面临的一些特殊场景、检测影响及应对措施进行详细分析和说明,希望对使用二进制SCA检测工具的测试和研发人员有所帮助。
OSS 工具之 OSSBrower
weixin_33872660的博客
02-16 612
浅谈 ossbrower,图形版的操作工具,有控制台的基本功能,可以理解是 ossutil 工具的图形版,适用于一些非技术人员来操作 oss ,但是性能上并不如 ossutil 那么给力。 使用须知 ossbrower 支持断点续传,以及一键暂停和一键恢复; ossbrower 最大支持文件大小是 5GB; ossbrower 最大支持的上传/下载线程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈安全

点赞收藏也是赞赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值