實至名歸  | OpenSCA成為開源中國GVP-Gitee最有價值開源專案

語言: CN / TW / HK

GVP(Gitee 最有價值開源專案)是開源中國(OSCHINA)旗下平臺Gitee綜合評定出的優秀開源專案。Gitee作為國內知名的程式碼託管和協作開發平臺,素有“國產GitHub”之稱,吸引了超過800萬的開發者,託管專案超過2000萬,匯聚幾乎所有本土原創開源專案,而目前被評為GVP的專案僅有377個(截至本文發稿前)。OpenSCA是唯一入選GVP的SCA(軟體成分分析)工具。

圖1 GVP證書

 

開源已覆蓋軟體開發的全域場景,正在構建新的軟體技術創新體系,引領新一代資訊科技創新發展,並且深刻影響著數字產業的發展。開源軟體已經成為軟體產業創新源泉和“標準件庫”,與此同時,開源許可證的相容性、開源專案的合規、開源安全漏洞和開源智慧財產權侵權等問題也日趨凸顯。

懸鏡安全秉持“用開源的方式做開源風險治理”這一理念,打造旗下源鑑OSS開源威脅管控平臺的開源版本——OpenSCA,該工具繼承了源鑑OSS的多源SCA開源應用安全缺陷檢測等核心能力,通過軟體成分分析、依賴分析、特徵分析、引用識別、合規分析等方法,深度挖掘元件中潛藏的各類安全漏洞及開源協議風險。

此次OpenSCA成為GVP,依託於使用者參與友好度以及以產品交付能力驅動的社群運營能力,不單是對開源社群貢獻者和運營者的激勵,更是進一步證明懸鏡開源治理理念的高度和前瞻性。

 

圖2 來源於Gitee官網首頁

 

OpenSCA里程碑

2021/12/30   OpenSCA開源專案在Gitee開源託管平臺首次釋出(v1.0.0版本)

主要功能:

  1. 支援Java、JavaScript、PHP語言專案的開源元件風險檢測
  2. 支援元件的直接依賴及間接依賴檢測
  3. 支援元件關聯漏洞庫檢測,雲平臺漏洞庫相容NVD、CNNVD、CNVD
  4. 支援通過外掛方式整合至IntelliJ IDEA開發工具中,在開發過程中檢測專案內引入的開源元件

 

2022/1/18  OpenSCA釋出v1.0.1版本

檢測能力優化

完善pom.xmlexclusion標記的元件解析

 

2022/1/22  OpenSCA釋出v1.0.2版本

檢測能力提升

1. 支援JavaScript語言npm包管理器yarn.lock的檢測

2. 支援PHP語言composer依賴管理工具composer.json的檢測

3. 支援Ruby語言gem包管理器gems.locked的檢測



2022/3/25  OpenSCA釋出v1.0.3版本

支援Golang語言go mod包管理器go.mod、god.sum檔案的解析

 

2022/4/7  OpenSCA釋出v1.0.4版本

支援Rust語言cargo包管理器cargo.lock檔案的解析

 

2022/4/21  OpenSCA釋出v1.0.5版本

支援erlang語言rebar包管理器rebar.lock檔案的解析

 

2022/5/30  OpenSCA釋出v1.0.6版本

1. 支援HTML格式報告匯出

2. 支援Gradle包管理工具的檢測

 

OpenSCA目前主要特性

  1. 豐富的語言支援,海量知識庫支撐  
  • 支援主流程式語言的軟體成分分析,如:Java、JavaScript、PHP、Ruby、Golang、Rust、Erlang
  • 雲平臺實時的元件庫/漏洞庫/許可證庫/特徵庫等海量知識庫支撐。

2. 企業級核心引擎,更高檢出更低誤報

  • 擁有企業級SCA核心檢測引擎及分析引擎;
  • 基於海量知識庫,多源SCA開源應用安全缺陷檢測等演算法,對特徵檔案進行精準識別,提高元件的檢出率。

 

OpenSCA目前檢測能力

現已支援以下程式語言對應的包管理器及相關配置檔案的解析:

 

懸鏡將持續迭代OpenSCA,為使用者提供更多更完善的功能,也歡迎更多夥伴加入社群使用OpenSCA,在Issues中提出寶貴建議,或者參與專案共建,成為開源貢獻者。讓我們共同維護開放、包容、創新、活力的OpenSCA社群,共築開源安全生態,守護中國軟體供應鏈安全。

 

關於懸鏡安全

懸鏡安全,由北京大學網路安全技術研究團隊“XMIRROR”於2014年創立。作為業界DevSecOps敏捷安全領導者,懸鏡專注於以程式碼疫苗和積極防禦技術為核心的DevSecOps軟體供應鏈持續威脅一體化檢測防禦,結合多年的敏捷安全落地實踐經驗和軟體供應鏈安全研究成果,探索出基於原創專利級“敏捷流程平臺+關鍵技術工具鏈+元件化軟體供應鏈安全服務”的第三代DevSecOps智適應威脅管理體系。該體系主要涵蓋從威脅建模、開源治理、風險發現、威脅模擬到檢測響應等關鍵環節的開發運營一體化敏捷安全產品及以實戰攻防對抗為特色的軟體供應鏈安全服務,覆蓋DevSecOps、軟體供應鏈安全、雲原生安全等關鍵應用場景,作為新一代敏捷安全框架,已成功幫助金融電商、泛網際網路、車聯網、電信運營商、能源電力等行業上千家企業構築起一套適應自身業務彈性發展、面向敏捷業務交付並引領未來架構演進的內生積極防禦體系。更多資訊請訪問懸鏡安全官網‍:www.xmirror.cn