前言
SCA(Software Composition Analysis)是管理和分析软件中开源组件的关键工具,用于确保安全性和许可证合规性。它涉及开源漏洞管理、许可证管理及SBOM清单的创建。SCA工具通过识别组件、关联安全漏洞和许可证信息,自动化风险评估和修复过程。在选择SCA工具时,考虑全面的开源数据库、语言支持、报告功能和优先级排序是至关重要的。
SCA(software composition analysis)保障了开源组件和库的可见性,它可以帮助企业管理组件安全性与许可证相关的风险。以确保软件中嵌入的任何开源组件都符合某种标准,以避免引入可能导致数据泄露、知识产权受损或法律纠纷的风险。
为了实现这一点,SCA工具可以识别特定的开源版本,并关联相关的安全漏洞和许可证信息。高级的SCA工具可以自动化整个过程,从检测和识别组件到漏洞或许可证关联和潜在风险的修补。
一、创建项目
点击:“项目”。
如下图所示:
点击:“新建项目”。
注:快速开始不建议用,建议从“创建项目开始”,这样通过项目来管理,好比对。
如下图所示:
二、编辑项目信息
“项目类型(普通项目)”-“项目名称”-“项目描述”-“项目标签(自由可选添加)”-“保存”。
注:由于网络较复杂,较慢,暂不选“仓库项目”。
如下图所示:
三、创建应用
点击:“应用”。
如下图所示:
点击:“创建应用”。
如下图所示:
四、编辑应用信息
“应用名称”-“所属项目”-“添加方式(本地上传)-“文件上传(zip格式)”-“描述”-“保存”。
注:把构建好的程序中lib目录压缩成zip文件上传。
如下图所示:
五、生成测试报告
等待检测完成,点击“生成报告”。
如下图所示:
六、下载测试报告
点击:“报告”-“下载”。
如下图所示:
记录SCA工具使用过程分享给大家,项目中使用了大量的开源组件,用于检测解决组件漏洞问题,确保安全性和许可证合规性!!!
