近期，中国（南京）国际软件产品和信息服务交易博览会举办“全球开源软件产品评选活动”颁奖仪式。OpenSCA凭借技术创新性、模式差异化、市场竞争力以及开源社区贡献度获选“全球十大开源软件产品”。

图1 悬镜安全OpenSCA凭借高分脱颖而出

SourceClear的调查报告指出，全球开源项目数量已呈现指数级增长趋势，2026年预计将超过3亿。而开源软件安全性事件的频发，却极大影响了开源生态的繁荣。开源风险治理成了多数企业当下乃至未来的迫切需求。

悬镜安全积极践行“用开源的方式做开源风险治理”这一原创理念，将旗下源鉴OSS开源威胁管控平台开源，为广大企业和开发者提供了专业的OpenSCA技术支持与社区生态服务。依托于社区用户参与友好度以及以产品交付能力驱动的社区运营能力，OpenSCA前不久刚刚荣获GVP（Gitee最有价值开源项目）年度荣誉。

作为全球首款开源的企业级SCA技术产品，OpenSCA继承了源鉴OSS领先的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

相较于其他开源SCA工具，OpenSCA 具有以下四大优势：

01  丰富的编程语言和知识库支撑

• 支持Java、JavaScript、PHP、Python、Go等多种主流编程语言

• 云平台实时的组件库、漏洞库、许可证库、特征库等海量知识库支撑

02  组件依赖解析，可视化SBOM分析

• 组件的直接依赖及间接依赖解析分析

• 组件安全漏洞分析，快速定位漏洞影响范围并及时修复

• 可视化SBOM（软件物料清单），助力快速梳理内部软件资产

03  许可合规分析，知识产权安全保障

• 支持主流许可证的检出

• 分析开源许可证的合规性及兼容性风险

04  企业级核心引擎，更高检出更低误报

• 拥有企业级SCA核心检测引擎及分析引擎

• 基于海量知识库以及多源SCA开源应用安全缺陷检测等算法，对特征文件进行精准识别，提高组件的检出率

图2 OpenSCA屡获重奖

此次在开源领域再获重磅奖项，进一步证明业界对OpenSCA技术能力以及开源社区建设的充分肯定。未来，OpenSCA将在开源生态安全建设以及技术创新发展方面持续努力。欢迎更多开发者和使用者下载应用和并参与讨论，提出自己的意见和想法，与OpenSCA携手，共同守护中国软件供应链安全。

参与和贡献，共建开源项目

感谢每一位开源社区成员对OpenSCA的支持和贡献。我们鼓励更多伙伴参与到OpenSCA开源项目的建设中来，成为开源贡献者，有任何建议都可以发在评论区或者Gitee、GitHub上OpenSCA项目的Issues中。让我们一起拥抱开源，共筑开源安全生态，促进开源产业健康发展。

OpenSCA是悬镜安全旗下源鉴OSS开源威胁管控产品的开源版本，继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力。

OpenSCA用开源的方式做开源风险治理，致力于做软件供应链安全的护航者，守护中国软件供应链安全。

OpenSCA的代码会在GitHub和Gitee持续迭代，欢迎Star和PR，成为我们的开源贡献者，也可提交问题或建议至Issues。我们会参考大家的建议不断完善OpenSCA开源项目，敬请期待更多功能的支持。

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli/

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli/

OpenSCA官网：

https://opensca.xmirror.cn/

欢迎大家扫码联系小镜

加入OpenSCA社区技术交流群