OpenSCA是国内最早的开源SCA平台，继承了商业级SCA的开源应用安全缺陷检测、多级开源依赖挖掘、纵深代码同源检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

不同于传统企业版 SCA 工具，OpenSCA 轻量易用、能力完整，支持漏洞库、私服库等自主配置，覆盖IDE/命令行/云平台、离线/在线等多种使用场景，支持Java、JavaScript（Node.js）、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单（SBOM），可灵活地接入开发流程，为企业、组织及个人用户输出透明化的组件资产及风险清单。

图1 OpenSCA支持的编程语言

一、OpenSCA使用方式和技术原理

1. 轻量级零成本安装使用

开发人员在写代码时需要全面思考、高效设计并快速迭代，因而希望工具易用性好、不拖慢开发节奏。

OpenSCA-cli是OpenSCA的命令行工具，支持在Windows/Linux/MacOS操作系统运行使用，部署简单，命令快捷。

云端在线检测：

可关联最新的漏洞数据，通过将本地解析的组件信息（不包含代码信息）上传至OpenSCA云平台进行漏洞库比对，识别组件的漏洞风险信息。

图2 在线检测命令示例

本地离线检测：

可以按照OpenSCA提供的漏洞库格式准备自己的漏洞库信息，无需将解析的组件信息传输到OpenSCA云平台，就可完成组件漏洞检测。

图3 本地检测命令示例

检测结果格式：

支持将检测结果保存到指定文件，根据后缀生成不同格式的文件，默认为JSON格式；支持以SPDX格式展示SBOM清单，只需更换相应输出文件后缀。支持生成HTML格式的检测报告。

图4.1 检测命令示例

图4.2 检测报告示例

2. 分析应用组件成分

引擎首先会检查项目是否有支持的特征文件，如果有特征文件，把需要的特征文件提取出来。解析jar包内的特征文件，如果包内无特征文件或特征文件解析不到有效数据则会尝试用jar包名检索获取组件名称和版本。如果通过jar包名检索失败则会按照"{组件名}-{版本号}.jar"的格式直接解析jar包名。

3. 分析开源组件依赖关系

开源软件包中80%的漏洞存在于传递依赖关系中，这意味着代码中的大多数漏洞都包含在复杂且正在使用的（嵌套）依赖项中。OpenSCA可以准确地检查代码中的所有依赖项，解析代码中使用的开源包的深度和复杂性，能够确保在各个级别都进行合适有效的漏洞检测。

在项目完整编译环境下，许多语言都会有比较成熟的包管理器，OpenSCA可以基于它的依赖配置文件去识别组件。例如mvn dependency:tree获取完整依赖树的过程，通过解析静态文件就可以获取非常完整的依赖关系。

OpenSCA后续新版本也将支持没有构建之前进行源代码层级的组件成分扫描，通过解析特征文件、组件文件、代码片段来识别成分。通过接入GitHub或Gitee的在线代码仓库，一旦仓库添加了新的组件信息，可以在早期检测并帮助开发人员识别潜在的风险。

但是对于本身组件体系完整而普适度高的语言，比如Java当中频繁使用了依赖引用链，这种引用关系往往可能存在2-3层以上，而这种依赖关系仅从静态的pom.xml中是没办法获取的。OpenSCA间接依赖可以从云平台组件库进行完整深度的递归解析所有层级的子依赖。

图5 OpenSCA检测流程

4.分析实际依赖组件

由于已识别的组件漏洞数量庞大，很快就会掩盖了漏洞的可见性及其对企业构成的真实风险指数。但企业发现的实际漏洞中有70%-85%不是致命漏洞，因为企业的专有软件不会调用存在这些漏洞的组件。

如何检测并判断应用实际使用到的组件是不可或缺的关键能力。OpenSCA在解析文件依赖信息时首先会检查组件是否是生产环境的组件（生产/开发环境的组件一般会在依赖文件中标识）。

通过解析过滤掉并非实际使用到的组件，从源头上减少无效组件和漏洞信息带来的干扰。

5. 开源组件完整性分析

对于jar包文件，会计算其MD5值后与知识库中记录的组件MD5进行匹配，判断当前组件的完整性。

图6 完整性校验流程

6. 检测开源组件漏洞风险

OpenSCA-cli提供了云平台漏洞库和离线漏洞库两种关联方式，来满足用户的在线和离线使用需求。

因此，OpenSCA的漏洞库的全面性和实时性可以起到重要的分析作用。依赖分析可以知道哪些项目或应用程序受到了漏洞的影响。

长期对知名开源组件追踪，大量漏洞源收集和独家漏洞的补充使得漏洞库快速全面的更新。

基于海量的组件库、漏洞库、许可证库、开源项目库等知识数据能够最大程度的匹配出正确的组件版本和对应的风险信息。通常，同一个漏洞可能存在于同一个组件的多个版本中，又或者同一个漏洞可能存在于不同的组件中，通过对关键漏洞的验证核实，OpenSCA能够最准确的给出修复推荐组件版本和安全的组件版本范围供用户选择。

7. 推荐修复方案

准确覆盖并识别了漏洞风险和优先级，但是如何进行有效修复？OpenSCA具备完善的漏洞修复方案和安全版本的开源组件推荐。

漏洞运营团队会对漏洞进行复现和修复验证。最大程度地完善漏洞修复信息，包括临时补丁、官方补丁、配置文件、缓解措施等。帮助用户快速评估修复影响和修复时间。

8. 提高许可证合规性

企业开发人员不能只是使用、复制、修改或分发开源依赖项。为了在软件中正确且合法地使用开源组件，必须了解在代码中使用的每个开源依赖项的协议权限、限制与使用条件。这将有助于企业创建定义和实施安全准则的策略。

OpenSCA能够从文件级别和代码级别，帮助企业深入了解开源组件的许可条款和条件，以及许可证的兼容关系。在制定安全策略时，企业可以在软件开发生命周期初期采用许可证合规性的规范。

9. 生成SBOM（软件物料清单）

软件物料清单（SBOM，Software Bills of Materials）是描述软件包依赖树的一系列元数据，包括供应商名称、组件名称、版本号、许可证信息、依赖关系等关键信息，通过SBOM技术和管理手段，可以帮助企业或团队梳理并透明化软件供应链资产。

通过使用OpenSCA自动化构建并生成应用程序的SBOM，在每次添加、删除依赖项或更改组件版本时可自动更新SBOM以确保SBOM的准确性。后续也将支持用户上传SBOM清单分析项目是否使用了存在已知漏洞的组件并构建完整的资产风险视图。当其它组件爆出漏洞时也可根据SBOM快速排查受影响项目，提高供应链的透明度和安全性。