Chinese
用开源的方式做开源风险治理
OpenSCA 是 SCA 技术原理的开源实现。作为悬镜安全旗下源鉴SCA开源威胁管控产品的开源版本,OpenSCA继承了源鉴SCA的多源SCA开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,保障应用开源组件引入的安全。
不同于传统企业版SCA工具,OpenSCA为治理开源风险提供了充满可能性的开源解决方案。它轻量易用、能力完整,支持漏洞库、私服库等自主配置,覆盖IDE/命令行/云平台、离线/在线等多种使用场景,可灵活地接入开发流程,为企业、组织及个人用户输出透明化的组件资产及风险清单。
围绕OpenSCA,我们搭建起了聚集上万开源项目维护者和使用者的全球极客开源数字供应链安全社区,社区涵盖信息通信、泛互联网、车联网、金融、能源等众多行业用户,为万千中国数字安全实践者们构筑起交流的平台与创新的基地。
| 语言 | 包管理器 | 特征文件 |
|---|---|---|
| Java | Maven | pom.xml |
| Gradle |
.gradle, .gradle.kts
|
|
| JavaScripts | NPM |
package-lock.json, package.json, yarn.lock
|
| PHP | Composer |
composer.json, composer.lock
|
| Ruby | gem | gemfile.lock |
| Golang | Go mod |
go.mod, go.sum
|
| Python | Pip |
Pipfile, Pipfile.lock, setup.py, requirements.txt(依赖 pipenv, 需联网), requirements.in(依赖 pipenv, 需联网) |
| Rust | cargo | Cargo.lock |
| Erlang | Rebar | rebar.lock |
- 方式一:使用一键安装脚本
- Mac/Linux 用户可通过以下命令下载并安装
curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh # 如果在下载中遇到网络问题,可尝试使用以下命令 curl -sSL https://gitee.com/XmirrorSecurity/OpenSCA-cli/raw/master/scripts/install.sh | sh -s -- gitee
- Mac/Linux 用户可通过以下命令下载并安装
- 方式二:Mac/Linux 用户可通过
Homebrew下载安装brew install opensca-cli
- 方式三:从 GitHub 或 Gitee 下载对应系统架构的可执行程序压缩包,并解压到本地任意目录下
检测指定目录的依赖关系
opensca-cli -path {替换为要检测的目录}检测指定目录的依赖关系,并通过云端数据库获取许可证以及漏洞信息
您需要先注册并获取 token
opensca-cli -path {替换为要检测的目录} -token {替换为您的 token}检测指定目录的依赖关系
docker run -ti --rm -v {替换为要检测的目录}:/src opensca/opensca-cli:latest检测指定目录的依赖关系,并通过云端数据库获取许可证以及漏洞信息
您需要先注册并获取 token
docker run -ti --rm -v {替换为要检测的目录}:/src opensca/opensca-cli:latest -token {替换为您的 token}