开源组件安全漏洞检测主流工具对比

       下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料，如有错误或不妥之处，还请各位指正。如果表格中有一些未知信息你了解，请给帮我补充。让我们更多的了解市场上的主流工具。

        目前这些工具在国内都有销售，其中Blackduck很多人都了解，前几年被Synopsys公司所收购，只能在国内销售不带库的版本。要把安全漏洞对应到开源组件上，需要把代码传到国外网站上，才能对比。国内做的不错的就是北京大学的HoBOT工具了，大家可以去对比了解。

工具名称	Sonatype	FossID	Blackduck	开源卫士	灏博（HoBOT）
厂商	Sonatype	FOSSID	Synopsys	奇安信	北京大学
开源组件识别	支持	支持	支持	支持	支持
支持二进制文件	支持	支持	支持	不支持	支持
支持第三方软件	支持	支持	支持	不支持	支持
漏洞检测	支持	支持	支持	支持	支持
软件许可协议分析	支持	支持	支持	不支持	支持
开源项目成熟度评估	不支持	不支持	支持	不支持	不支持
版本升级风险评估	支持，升级路径	支持，升级路径	支持，升级建议	不支持	支持，升级建议
跟踪开源项目动态	支持，跟踪分析	支持，跟踪分析	支持，跟踪分析	未找到依据	支持，跟踪分析
跟随业界漏洞舆情	支持，跟随研究漏洞网站	支持，每小时/周/月 升级	支持,  更新/月（需要连接互联网）	未找到依据	支持，更新周/月
开源项目监控，报告恶意发布	支持，实时监控几百万工具	未找到依据	支持	未找到依据	不支持
知识库规模	未找到依据	3700万开源软件项目 70亿开源文件 228000漏洞项目	2700万开源软件项目 2500种许可证 70000个漏洞 6500个网站数据	3000万开源软件项目 其它数据无依据	4000万开源软件项目 75亿开 20万个漏洞 80多种许可证协议
支持编程语言和文件类型	未找到依据	所有编程语言 所有文件类型	70种编程语言 100种文件类型	Java、Python、JavaScript、.NET、PHP、Swift、Go等主流编程语言	所有编程语言 编程语言对应的默认文件类型
产品架构	B/S	B/S	C/S	B/S	B/S
部署方式	本地部署/常规部署（不带库）	本地部署/常规部署（不带库）	本地部署/常规部署（不带库）	未找到依据	本地部署/常规部署（不带库）
检测工程导入方式	Git	Git、SVN	项目路径	未找到依据	Git、SVN、压缩文件
加密算法分析	不支持	支持	不支持	不支持	不支持
组件依赖关系分析	未找到依据	支持	支持	支持	支持
漏洞持续监控	支持，警报或邮件	未找到依据	未找到依据	支持，邮件或短信	支持
相似指纹匹配	未找到依据	不支持	支持	不支持	支持
项目两两对比	不支持	不支持	不支持	不支持	支持
误报	未找到依据	零误报	未找到依据	未找到依据	零误报
代码片段	不支持	支持	支持	不支持	支持
部署平台	Linux/Windows/OSx	Linux/Windows	Linux/Windows（客户端Win）	Linux/Windows	Linux/Windows
RESTAPI  API	支持扩展	支持扩展	支持扩展	不支持	不支持
支持CI	支持	Jenkins、Hudson	不支持	不支持	不支持
检测报告	未找到依据	HTML、Excel、SPDX	未找到依据	未找到依据	WORD、PDF
售后服务	未找到依据	维护升级	维护升级	维护升级 咨询服务	维护升级咨询、培训服务

关注安全  关注作者

（完）

--------------------------------------------------------------------------------------------------------------------------