叮咚~综合我们接到的各种用户反馈,OpenSCA项目组在1.0.10的基础上迭代了1.0.11版本
升级功能
-
优化Java解析逻辑
-
支持打印结果概览及常见报错信息到终端界面
-
支持输出Cyclonedx及SWID标准格式SBOM清单
-
进一步提升检测速度
更新说明
01.Java解析逻辑优化
进一步优化Java解析逻辑,将更多特殊情况纳入考虑范畴,欢迎体验~
02.支持打印结果概览及常见报错信息到终端界面
-
2.1 检测结果概览
从1.0.11开始,检测对象的组件风险及漏洞情况概览会直接打印至执行检测的终端界面,方便用户快速了解总体情况。
图1:Components为组件,Vulnerabilities为漏洞;CHML依次为严重/高危/中危/低危(无漏洞的组件个数没有单独展示)
-
2.2 报错信息
无法执行检测或无法输出漏洞信息时,最常见的原因有两种:
一是-path参数后输入的文件路径错误;
二是-url和-token参数输入错误导致云漏洞库服务鉴权失败,无法进行漏洞信息比对及返回。
为了便于快速找出问题,1.0.11版本的OpenSCA会将这两种错误日志都打印至终端界面。
图2:path参数后输入的文件路径错误报错示例
图3:url和-token参数输入错误报错示例
03.支持输出Cyclonedx及SWID标准格式SBOM清单
继1.0.8版本支持了国际通用的SPDX标准格式的SBOM清单输出后,本次更新的OpenSCA将可以生成Cyclonedx及SWID标准格式的SBOM清单。
图4:Cyclonedx格式SBOM清单命令及清单示例
通过控制-out参数的文件名后缀,即可实现不同格式清单及检测报告的输出~
图5:swid格式SBOM清单命令示例
04.进一步提升检测速度
问:OpenSCA的检测速度与哪些因素有关?
答:检测速度与压缩包大小、网络状况和检测语言有关,通常情况下会在几秒到几分钟。
v1.0.11开始在默认逻辑中新增了阿里云镜像库作为maven官方库的备用,解决了官方库连接受限导致的检测速度过慢问题。
v1.0.10及更低版本使用时如遇检测速度异常慢、日志文件中有maven连接失败报错:
v1.0.6-v1.0.10可在配置文件config.json中将“maven”字段作如下设置:
设置完毕后,确保配置文件和opensca-cli在同一目录下,执行opensca-cli检测命令加上-config congif.json即可,示例:
v1.0.5及更低版本需要自行修改源码配置镜像库地址,建议升级到更高版本。
以上就是本次更新内容的完整介绍~
感谢每一位开源社区成员对OpenSCA的支持和贡献。我们鼓励更多伙伴参与到OpenSCA开源项目的建设中来,成为开源贡献者,有任何建议都可以发在评论区或者Gitee、GitHub上OpenSCA项目的Issues中。让我们一起拥抱开源,共筑开源安全生态,促进开源产业健康发展。
OpenSCA的代码会在GitHub和Gitee持续迭代,欢迎Star和PR,成为我们的开源贡献者,也可提交问题或建议至Issues。我们会参考大家的建议不断完善OpenSCA开源项目,敬请期待更多功能的支持。
GitHub:
https://github.com/XmirrorSecurity/OpenSCA-cli/releases
Gitee:
https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases
OpenSCA官网:
https://opensca.xmirror.cn/
