title: 软件成分分析(SCA) linkTitle: SCA weight: 2 description: 软件成分分析与依赖管理工具链 keywords: 软件成分分析 SCA Dependency-Check OpenSCA Dependabot Snyk 开源软件包允许开发人员实现功能,而无需编写所有代码,从而可以加快开发过程。然而,开源代码也带来了开源漏洞。依赖管理工具通过识别和更新带有已知漏洞的包来帮助管理开源包中的漏洞。
title: 软件成分分析(SCA) linkTitle: SCA weight: 2 description: 软件成分分析与依赖管理工具链 keywords: - 软件成分分析 - SCA - Dependency-Check - OpenSCA - Dependabot - Snyk
开源软件包允许开发人员实现功能,而无需编写所有代码,从而可以加快开发过程。然而,开源代码也带来了开源漏洞。依赖管理工具通过识别和更新带有已知漏洞的包来帮助管理开源包中的漏洞。
SecurityTools-Assessment for SCA 由统信软件、百度、阿里、绿盟共同完成的开源 SCA 工具能力评估报告。
测试结果摘要:
| 工具名称 | 版本 | 得分(第一轮) | 得分(第二轮) | 最终得分 |
|---|---|---|---|---|
| OpenSCA | v1.0.12 | 117.61 | 135.61 | 126.61 |
| Murphysec | v3.1.1 | 99.96 | 66.84 | 83.22 |
| DependencyCheck | 8.3.1 | 88.9 | 78.443 | 83.6715 |
| Trivy | 0.42.1 | 76.7 | 86.04 | 81.37 |
| Synk-cli | 1.1196.0 | 72.9 | 53.99 | 63.445 |