欢迎OpenSCA加入渠成开源社区!
- 2023-10-25 09:00:00
- 晓彤 原创
- 1656
项目作者
作者:OpenSCA项目组联系方式
官网:https://opensca.xmirror.cnQQ技术交流群:832039395
官方邮箱:opensca@anpro-tech.com
微信公众号:OpenSCA社区
项目介绍
输出开源组件及漏洞清单,为企业及个人用户提供0成本、高精度、稳定易用的开源软件供应链安全解决方案。检测能力
OpenSCA现已支持以下编程语言相关的配置文件解析及对应的包管理器,后续会逐步支持更多的编程语言,丰富相关配置文件的解析。
支持语言 | 包管理器 | 解析文件 |
---|---|---|
Java |
Maven |
pom.xml |
Java |
Gradle |
.gradle .gradle.kts |
JavaScript |
Npm |
package-lock.json package.json yarn.lock |
PHP |
Composer |
composer.json composer.lock |
Ruby |
gem |
gemfile.lock |
Golang |
gomod |
go.mod go.sum |
Rust |
cargo |
Cargo.lock |
Erlang |
Rebar |
rebar.lock |
|
Pip |
|
常见问题
使用OpenSCA需要配置环境变量吗?
不需要。解压后直接在命令行或终端工具中执行对应命令即可开始检测。
OpenSCA目前支持哪些漏洞库呢?
OpenSCA支持自主配置本地漏洞库,需要按照漏洞库文件格式配置。
使用OpenSCA检测时,检测速度与哪些因素有关?
检测速度与压缩包大小、网络状况和检测语言有关,通常情况下会在几秒到几分钟。
v1.0.11开始在默认逻辑中新增了阿里云镜像库作为maven官方库的备用,解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10及更低版本使用时如遇检测速度异常慢、日志文件中有maven连接失败报错,v1.0.6-v1.0.10可在配置文件config.json中将“maven”字段作如下设置:
{
"maven": [
{
"repo": "https://maven.aliyun.com/repository/public",
"user": "",
"password": ""
}
]
}
设置完毕后,确保配置文件和opensca-cli在同一目录下,执行opensca-cli检测命令加上-config congif.json即可,示例:
opensca-cli -url https://opensca.xmirror.cn -token {token} -path {path} -out output.html -config config.json
v1.0.5及更低版本需要自行修改源码配置镜像库地址,建议升级到更高版本。
关于我们
渠成开源社区由禅道软件(青岛)有限公司举办的青岛渠成开源计算机网络技术研究中心运营,是从事非营利性社会服务活动的社会组织。
文章分类
联系我们
联系人: | 北柠 |
---|---|
电话: | 17554229565 |
Email: | beining@chandao.com |