2022年5月30日,OpenSCA新版本v1.0.6正式发布,持续增加新功能,满足用户更多需求。本次发布版本的重点更新内容是:
- 支持HTML格式报告导出
- 支持Gradle包管理工具的检测
准备工作:
访问以下任意一个OpenSCA的开源项目地址,下载最新版本的OpenSCA-cli检测工具:
Gitee:https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases
GitHub:https://github.com/XmirrorSecurity/OpenSCA-cli/releases
具体使用流程,请参考【OpenSCA使用攻略⬅点击蓝字了解详情】。
支持HTML格式报告导出
本次新增的HTML格式报告导出功能,将检测结果以可视化形式统计、展示,提升了检测报告的可读性,便于组件依赖清单及漏洞信息的管理维护。
HTML格式报告导出流程:
1. 将导出报告的文件格式后缀改为“.html”。以Windows环境下的检测为例:
opensca-cli.exe -url https://opensca.xmirror.cn -token ${token} -path ${project_path} -out output.html
2. 生成的检测报告为html格式的文件,双击文件在浏览器中查看检测结果。
报告结果概览:
1. 统计检出的组件、漏洞数量及占比情况。
2. 在检出的组件依赖列表,会明确展示组件的风险等级、检出的漏洞数、依赖方式等信息。
3. 点击<依赖列表>内的组件,可查看组件的详细信息,包括检出路径、组件漏洞信息等。
支持Gradle包管理工具的检测
新版本实现了对Gradle包管理工具的检测。目前OpenSCA已支持以下编程语言对应的包管理器及相关配置文件的解析:
参与和贡献,共建开源项目
感谢每一位开源社区成员对OpenSCA的支持和贡献。我们鼓励更多伙伴参与到OpenSCA开源项目的建设中来,成为开源贡献者,有任何建议都可以发在评论区或者Gitee、GitHub上OpenSCA项目的Issues中。让我们一起拥抱开源,共筑开源安全生态,促进开源产业健康发展。
欢迎大家扫码联系小镜
加入 OpenSCA 社区技术交流群
OpenSCA 是悬镜安全旗下源鉴 OSS 开源威胁管控产品的开源版本,继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力。
OpenSCA 用开源的方式做开源风险治理,致力于做软件供应链安全的护航者,守护中国软件供应链安全。
OpenSCA 的代码会在 GitHub 和 Gitee 持续迭代,欢迎 Star 和 PR,成为我们的开源贡献者,也可提交问题或建议至 Issues。我们会参考大家的建议不断完善 OpenSCA 开源项目,敬请期待更多功能的支持。
GitHub:
https://github.com/XmirrorSecurity/OpenSCA-cli/
Gitee:
https://gitee.com/XmirrorSecurity/OpenSCA-cli/
OpenSCA 官网:
https://opensca.xmirror.cn/