实至名归|OpenSCA成为开源中国GVP-Gitee最有价值开源项目
作者: 日期:2022年06月10日 阅:2,160

GVP(Gitee 最有价值开源项目)是开源中国(OSCHINA)旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台,素有“国产GitHub”之称,吸引了超过800万的开发者,托管项目超过2000万,汇聚几乎所有本土原创开源项目,而目前被评为GVP的项目仅有377个(截至本文发稿前)。OpenSCA是唯一入选GVP的SCA(软件成分分析)工具。

图1 GVP证书

开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展,并且深刻影响着数字产业的发展。开源软件已经成为软件产业创新源泉和“标准件库”,与此同时,开源许可证的兼容性、开源项目的合规、开源安全漏洞和开源知识产权侵权等问题也日趋凸显。

悬镜安全秉持“用开源的方式做开源风险治理”这一理念,打造旗下源鉴OSS开源威胁管控平台的开源版本——OpenSCA,该工具继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

此次OpenSCA成为GVP,依托于用户参与友好度以及以产品交付能力驱动的社区运营能力,不单是对开源社区贡献者和运营者的激励,更是进一步证明悬镜开源治理理念的高度和前瞻性。

图2 来源于Gitee官网首页

OpenSCA里程碑

2021/12/30   OpenSCA开源项目在Gitee开源托管平台首次发布(v1.0.0版本)

主要功能:

  1. 支持Java、JavaScript、PHP语言项目的开源组件风险检测;
  2. 支持组件的直接依赖及间接依赖检测;
  3. 支持组件关联漏洞库检测,云平台漏洞库兼容NVD、CNNVD、CNVD;
  4. 支持通过插件方式集成至IntelliJ IDEA开发工具中,在开发过程中检测项目内引入的开源组件。

2022/1/18  OpenSCA发布v1.0.1版本

检测能力优化:

完善pom.xml中对exclusion标记的组件的解析。

2022/1/22  OpenSCA发布v1.0.2版本

检测能力提升:

1. 支持JavaScript语言npm包管理器yarn.lock的检测;

2. 支持PHP语言composer依赖管理工具composer.json的检测;

3. 支持Ruby语言gem包管理器gems.locked的检测。

2022/3/25  OpenSCA发布v1.0.3版本

支持Golang语言go mod包管理器go.mod、god.sum文件的解析。

2022/4/7  OpenSCA发布v1.0.4版本

支持Rust语言cargo包管理器cargo.lock文件的解析。

2022/4/21  OpenSCA发布v1.0.5版本

支持erlang语言rebar包管理器rebar.lock文件的解析。

2022/5/30  OpenSCA发布v1.0.6版本

1. 支持HTML格式报告导出

2. 支持Gradle包管理工具的检测

OpenSCA目前主要特性

  1. 丰富的语言支持,海量知识库支撑
  2. 支持主流编程语言的软件成分分析,如:Java、JavaScript、PHP、Ruby、Golang、Rust、Erlang;
  3. 云平台实时的组件库/漏洞库/许可证库/特征库等海量知识库支撑。

2. 企业级核心引擎,更高检出更低误报

  • 拥有企业级SCA核心检测引擎及分析引擎;
  • 基于海量知识库,多源SCA开源应用安全缺陷检测等算法,对特征文件进行精准识别,提高组件的检出率。

OpenSCA目前检测能力

现已支持以下编程语言对应的包管理器及相关配置文件的解析:

悬镜将持续迭代OpenSCA,为用户提供更多更完善的功能,也欢迎更多伙伴加入社区使用OpenSCA,在Issues中提出宝贵建议,或者参与项目共建,成为开源贡献者。让我们共同维护开放、包容、创新、活力的OpenSCA社区,共筑开源安全生态,守护中国软件供应链安全。


扫描下图二维码免费试用,点击文末“阅读原文”,获取更多OpenSCA相关信息

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章