实至名归 | OpenSCA成为开源中国GVP-Gitee最有价值开源项目
GVP(Gitee 最有价值开源项目)是开源中国(OSCHINA)旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台,素有“国产GitHub”之称,吸引了超过800万的开发者,托管项目超过2000万,汇聚几乎所有本土原创开源项目,而目前被评为GVP的项目仅有377个(截至本文发稿前)。OpenSCA是唯一入选GVP的SCA(软件成分分析)工具。
图1 GVP证书
开源已覆盖软件开发的全域场景,正在构建新的软件技术创新体系,引领新一代信息技术创新发展,并且深刻影响着数字产业的发展。开源软件已经成为软件产业创新源泉和“标准件库”,与此同时,开源许可证的兼容性、开源项目的合规、开源安全漏洞和开源知识产权侵权等问题也日趋凸显。
悬镜安全秉持“用开源的方式做开源风险治理”这一理念,打造旗下源鉴OSS开源威胁管控平台的开源版本——OpenSCA,该工具继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。
此次OpenSCA成为GVP,依托于用户参与友好度以及以产品交付能力驱动的社区运营能力,不单是对开源社区贡献者和运营者的激励,更是进一步证明悬镜开源治理理念的高度和前瞻性。
图2 来源于Gitee官网首页
OpenSCA里程碑
2021/12/30 OpenSCA开源项目在Gitee开源托管平台首次发布(v1.0.0版本)
主要功能:
- 支持Java、JavaScript、PHP语言项目的开源组件风险检测;
- 支持组件的直接依赖及间接依赖检测;
- 支持组件关联漏洞库检测,云平台漏洞库兼容NVD、CNNVD、CNVD;
- 支持通过插件方式集成至IntelliJ IDEA开发工具中,在开发过程中检测项目内引入的开源组件。
2022/1/18 OpenSCA发布v1.0.1版本
检测能力优化:
完善pom.xml中对exclusion标记的组件的解析。
2022/1/22 OpenSCA发布v1.0.2版本
检测能力提升:
1. 支持JavaScript语言npm包管理器yarn.lock的检测;
2. 支持PHP语言composer依赖管理工具composer.json的检测;
3. 支持Ruby语言gem包管理器gems.locked的检测。
2022/3/25 OpenSCA发布v1.0.3版本
支持Golang语言go mod包管理器go.mod、god.sum文件的解析。
2022/4/7 OpenSCA发布v1.0.4版本
支持Rust语言cargo包管理器cargo.lock文件的解析。
2022/4/21 OpenSCA发布v1.0.5版本
支持erlang语言rebar包管理器rebar.lock文件的解析。
2022/5/30 OpenSCA发布v1.0.6版本
1. 支持HTML格式报告导出
2. 支持Gradle包管理工具的检测
OpenSCA目前主要特性
- 丰富的语言支持,海量知识库支撑
- 支持主流编程语言的软件成分分析,如:Java、JavaScript、PHP、Ruby、Golang、Rust、Erlang;
- 云平台实时的组件库/漏洞库/许可证库/特征库等海量知识库支撑。
2. 企业级核心引擎,更高检出更低误报
- 拥有企业级SCA核心检测引擎及分析引擎;
- 基于海量知识库,多源SCA开源应用安全缺陷检测等算法,对特征文件进行精准识别,提高组件的检出率。
OpenSCA目前检测能力
现已支持以下编程语言对应的包管理器及相关配置文件的解析:
悬镜将持续迭代OpenSCA,为用户提供更多更完善的功能,也欢迎更多伙伴加入社区使用OpenSCA,在Issues中提出宝贵建议,或者参与项目共建,成为开源贡献者。让我们共同维护开放、包容、创新、活力的OpenSCA社区,共筑开源安全生态,守护中国软件供应链安全。
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn
