叮咚~综合我们接到的各种用户反馈,OpenSCA 项目组在 1.0.10 的基础上迭代了 1.0.11 版本
升级功能
优化 Java 解析逻辑
支持打印结果概览及常见报错信息到终端界面
- 支持输出 Cyclonedx 及 SWID 标准格式 SBOM 清单
- 进一步提升检测速度
更新说明
01.Java 解析逻辑优化
进一步优化 Java 解析逻辑,将更多特殊情况纳入考虑范畴,欢迎体验~
02. 支持打印结果概览及常见报错信息到终端界面
2.1 检测结果概览
从 1.0.11 开始,检测对象的组件风险及漏洞情况概览会直接打印至执行检测的终端界面,方便用户快速了解总体情况。
图 1:Components 为组件,Vulnerabilities 为漏洞;CHML 依次为严重 / 高危 / 中危 / 低危(无漏洞的组件个数没有单独展示)
2.2 报错信息
无法执行检测或无法输出漏洞信息时,最常见的原因有两种:
一是 - path 参数后输入的文件路径错误;
二是 - url 和 - token 参数输入错误导致云漏洞库服务鉴权失败,无法进行漏洞信息比对及返回。
为了便于快速找出问题,1.0.11 版本的 OpenSCA 会将这两种错误日志都打印至终端界面。
图 2:path 参数后输入的文件路径错误报错示例
图 3:url 和 - token 参数输入错误报错示例
03. 支持输出 Cyclonedx 及 SWID 标准格式 SBOM 清单
继 1.0.8 版本支持了国际通用的 SPDX 标准格式的 SBOM 清单输出后,本次更新的 OpenSCA 将可以生成 Cyclonedx 及 SWID 标准格式的 SBOM 清单。
图 4:Cyclonedx 格式 SBOM 清单命令及清单示例
通过控制 - out 参数的文件名后缀,即可实现不同格式清单及检测报告的输出~
图 5:swid 格式 SBOM 清单命令示例
04. 进一步提升检测速度
问:OpenSCA 的检测速度与哪些因素有关?
答:检测速度与压缩包大小、网络状况和检测语言有关,通常情况下会在几秒到几分钟。
v1.0.11 开始在默认逻辑中新增了阿里云镜像库作为 maven 官方库的备用,解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10 及更低版本使用时如遇检测速度异常慢、日志文件中有 maven 连接失败报错:
v1.0.6-v1.0.10 可在配置文件 config.json 中将 “maven” 字段作如下设置:
设置完毕后,确保配置文件和 opensca-cli 在同一目录下,执行 opensca-cli 检测命令加上 - config congif.json 即可,示例:
v1.0.5 及更低版本需要自行修改源码配置镜像库地址,建议升级到更高版本。
以上就是本次更新内容的完整介绍~
感谢每一位开源社区成员对 OpenSCA 的支持和贡献。我们鼓励更多伙伴参与到 OpenSCA 开源项目的建设中来,成为开源贡献者,有任何建议都可以发在评论区或者 Gitee、GitHub 上 OpenSCA 项目的 Issues 中。让我们一起拥抱开源,共筑开源安全生态,促进开源产业健康发展。
OpenSCA 的代码会在 GitHub 和 Gitee 持续迭代,欢迎 Star 和 PR,成为我们的开源贡献者,也可提交问题或建议至 Issues。我们会参考大家的建议不断完善 OpenSCA 开源项目,敬请期待更多功能的支持。
GitHub:
https://github.com/XmirrorSecurity/OpenSCA-cli/releases
Gitee:
https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases
OpenSCA 官网:
