近日，OpenSCA新版本v1.0.8正式发布，重磅功能持续更新，满足用户更多需求。

1. V1.0.8 更新内容

支持生成SPDX格式的软件物料清单

2. 构建详细软件物料清单，透明化供应链软件资产

2.1 软件物料清单介绍 

软件物料清单（SBOM，Software Bills of Materials）是描述软件包依赖树的一系列元数据，包括供应商名称、组件名称、版本号、许可证信息、依赖关系等关键信息，通过这些关键信息来构建详细的物料清单，帮助企业或团队梳理并透明化软件供应链资产。目前业界主流的生成SBOM的格式有软件包数据交换 (SPDX)、软件标识 (SWID)标记和OWASP CycloneDX等。

OpenSCA本版本支持的SPDX是由Linux基金会运营的一项国际公认的软件物料清单开放标准(ISO/IEC 5962:2021)。SPDX通过梳理与软件相关的组件、许可证、版权和安全相关数据等元数据，来提高许可证合规性、供应链的透明度和安全性。

2.2 为什么需要SBOM 

• 梳理、透明化软件资产
• 组件漏洞风险、许可证风险管控治理
• 提高软件供应链安全性，防止软件供应链攻击

2.3 使用OpenSCA自动化构建生成SBOM 

通过使用OpenSCA自动化构建并生成应用程序的SBOM，在每次添加、删除依赖项或更改组件版本时自动更新SBOM以确保SBOM的准确性。

2.3.1 使用流程

访问OpenSCA开源项目，下载OpenSCA最新版本：

https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases

https://github.com/XmirrorSecurity/OpenSCA-cli/releases

具体使用流程，请参考OpenSCA使用攻略。

2.3.2 生成SPDX

支持生成 .spdx、.spdx.json、.spdx.xml文件格式的SPDX规范，以生成.spdx.json为例，将导出报告的文件格式后缀改为.spdx.json ：

# Windows执行命令opensca-cli.exe -url https://opensca.xmirror.cn -token ${token} -path ${project_path} -out output.spdx.json

2.3.3 结果示例

图：生成SPDX结果示例

2.4 SBOM展望 

SBOM已成为软件安全和软件供应链风险管理的关键组成部分，它可以帮助企业、团队或个人更全面地了解软件供应链以及其中可能存在的安全性、合规性和质量等风险，并快速识别和修复潜在的安全漏洞，进而提高软件供应链的安全性。

Gartner在2020年的“应用程序安全测试魔力象限”中预测：到2024年，至少一半的企业软件买家要求软件供应商必须提供详细的、定期更新的SBOM，同时60%的企业将为他们创建的所有应用程序和服务自动构建SBOM。

尽管SBOM对于许多企业来说依然很陌生，甚至在国内并未形成规范，但其需求却在不断增长，未来也会有越来越多的企业要求其供应商提供SBOM，SBOM的管理也将帮助软件公司在市场上保持一定的竞争力。

3. 参与和贡献，共建开源项目

感谢每一位开源社区成员对OpenSCA的支持和贡献。我们鼓励更多伙伴参与到OpenSCA开源项目的建设中来，成为开源贡献者，有任何建议都可以发在评论区或者Gitee、GitHub上OpenSCA项目的Issues中。让我们一起拥抱开源，共筑开源安全生态，促进开源产业健康发展。OpenSCA是悬镜安全旗下源鉴OSS开源威胁管控产品的开源版本，继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力。OpenSCA用开源的方式做开源风险治理，致力于做软件供应链安全的护航者，守护中国软件供应链安全。OpenSCA的代码会在GitHub和Gitee持续迭代，欢迎Star和PR，成为我们的开源贡献者，也可提交问题或建议至Issues。我们会参考大家的建议不断完善OpenSCA开源项目，敬请期待更多功能的支持。

GitHub：

https://github.com/XmirrorSecurity/OpenSCA-cli/releases 

Gitee：

https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases 

OpenSCA官网：

https://opensca.xmirror.cn/

欢迎大家扫码联系小镜

加入OpenSCA社区技术交流群