实至名归 | OpenSCA成为开源中国GVP-Gitee最有价值开源项目
GVP(Gitee 最有价值开源项目)是开源中国(OSCHINA)旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台,素有“国产GitHub”之称,吸引了超过800万的开发者,托管项目超过2000万,汇聚几乎所有本土原创开源项目,而目前被评为GVP的项目仅有377个(截至本文发稿前)。OpenSCA是唯一入选GVP的SCA(软件成分分析)工具。
图1 GVP证书
开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展,并且深刻影响着数字产业的发展。开源软件已经成为软件产业创新源泉和“标准件库”,与此同时,开源许可证的兼容性、开源项目的合规、开源安全漏洞和开源知识产权侵权等问题也日趋凸显。
悬镜安全秉持“用开源的方式做开源风险治理”这一理念,打造旗下源鉴OSS开源威胁管控平台的开源版本——OpenSCA,该工具继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
此次OpenSCA成为GVP,依托于用户参与友好度以及以产品交付能力驱动的社区运营能力,不单是对开源社区贡献者和运营者的激励,更是进一步证明悬镜开源治理理念的高度和前瞻性。
图2 来源于Gitee官网首页
OpenSCA里程碑
2021/12/30 OpenSCA开源项目在Gitee开源托管平台首次发布(v1.0.0版本)
主要功能:
- 支持Java、JavaScript、PHP语言项目的开源组件风险检测;
- 支持组件的直接依赖及间接依赖检测;
- 支持组件关联漏洞库检测,云平台漏洞库兼容NVD、CNNVD、CNVD;
- 支持通过插件方式集成至IntelliJ IDEA开发工具中,在开发过程中检测项目内引入的开源组件。
2022/1/18 OpenSCA发布v1.0.1版本
检测能力优化:
完善pom.xml中对exclusion标记的组件的解析。
2022/1/22 OpenSCA发布v1.0.2版本
检测能力提升:
1. 支持JavaScript语言npm包管理器yarn.lock的检测;
2. 支持PHP语言composer依赖管理工具composer.json的检测;
3. 支持Ruby语言gem包管理器gems.locked的检测。
2022/3/25 OpenSCA发布v1.0.3版本
支持Golang语言go mod包管理器go.mod、god.sum文件的解析。
2022/4/7 OpenSCA发布v1.0.4版本
支持Rust语言cargo包管理器cargo.lock文件的解析。
2022/4/21 OpenSCA发布v1.0.5版本
支持erlang语言rebar包管理器rebar.lock文件的解析。
2022/5/30 OpenSCA发布v1.0.6版本
1. 支持HTML格式报告导出
2. 支持Gradle包管理工具的检测
OpenSCA目前主要特性
- 丰富的语言支持,海量知识库支撑
- 支持主流编程语言的软件成分分析,如:Java、JavaScript、PHP、Ruby、Golang、Rust、Erlang;
- 云平台实时的组件库/漏洞库/许可证库/特征库等海量知识库支撑。
2. 企业级核心引擎,更高检出更低误报
- 拥有企业级SCA核心检测引擎及分析引擎;
- 基于海量知识库,多源SCA开源应用安全缺陷检测等算法,对特征文件进行精准识别,提高组件的检出率。
OpenSCA目前检测能力
现已支持以下编程语言对应的包管理器及相关配置文件的解析:
悬镜将持续迭代OpenSCA,为用户提供更多更完善的功能,也欢迎更多伙伴加入社区使用OpenSCA,在Issues中提出宝贵建议,或者参与项目共建,成为开源贡献者。让我们共同维护开放、包容、创新、活力的OpenSCA社区,共筑开源安全生态,守护中国软件供应链安全。
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
尽一份孝心,为家人做一个老人防摔报警系统
摘要:基于STM32+华为云IoT设计的老人防摔倒报警系统。 本文分享自华为云社区《基于STM32+华为云IOT设计的老人防摔倒报警系统【玩转华为云】》,作者: DS小龙哥 。 1. 前言 我国独生子女,以及人口老龄化等问题,正逐渐成为一个重大的社会问题,老年人机体能力的下降,摔倒引起的安全和危害愈来愈突出,国家和社会越来越关注老年人的健康和安全,开发一个能够实时检测出老年人是否摔倒,并且能及时告知监护人的摔倒检测以及报警系统具有重要的现实意义。本系统包括检测摔倒模块、GPS定位模块和通信模块三部分,通过检测老年人日常状态,可以得知老年人的状态,如果监测到老年人摔倒了,此时会通过网络把检测结果上传到物联网云平台,获得老年人摔倒地点的GPS定位,并且通过GPRS通讯发短信给预设的监护人。 2. 设计需求 (1)采用STM32单片机作为主控芯片,配合其他模块完成功能设计 (2)通信模块采用SIM800C,支持上传采集的GPS经纬度数据到云端服务器,云端采用华为云物联网平台。 (3)老人摔倒检测采用MPU6050陀螺仪检测,当检测到老人摔倒之后,会通过SIM800C发送短信到紧急联系人,设备...
- 下一篇
ModStartCMS 企业内容建站系统(支持 Laravel9)v4.1.0
企业内容建站系统 ModStartCMS v4.1.0 发布,分词搜索适配,安全性增强 系统介绍 ModStart 是一个基于 Laravel 模块化极速开发框架。模块市场拥有丰富的功能应用,支持后台一键快速安装,让开发者能快的实现业务功能开发。 系统完全开源,基于 Apache 2.0 开源协议,免费且不限制商业使用。 功能特性 丰富的模块市场,后台一键快速安装 会员模块通用且完整,支持完整的API调用 大文件分片上传,进度条显示,已上传文件管理 强大的模块扩展功能,所有模块可以无缝集成,支持在线安装、卸载模块 完善的开发助手,实现模块、主题的的一键创建 完善的后台权限管理,支持基于RBAC的权限管理系统 后台管理支持使用手机、平板、PC,无论何时何地都可方便管理 第三方登录(QQ、微信、微博、支付宝、微信小程序) 第三方支付支持(微信、支付宝、支付宝当面付、微信扫码、微信小程序) 第三方云存储支持,支持云储存分片上传(阿里云、百度云、华为云、腾讯云、FTP、七牛云、UCloud、又拍云) 第三方短信支持(阿里云、腾讯云、华为云、百度云、253云通讯、聚合、七牛云、融云、赛邮、UCl...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS关闭SELinux安全模块
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Linux系统CentOS6、CentOS7手动修改IP地址