叮咚~综合咱们接到的各种用户反馈,OpenSCA 项目组在 1.0.10 的根底上迭代了 1.0.11 版本 降级性能 优化 Java 解析逻辑反对打印后果概览及常见报错信息到终端界面反对输入 Cyclonedx 及 SWID 规范格局 SBOM 清单进一步晋升检测速度 更新阐明 01.Java 解析逻辑优化进一步优化 Java 解析逻辑,将更多非凡状况纳入思考领域,欢送体验~ 02. 反对打印后果概览及常见报错信息到终端界面 2.1 检测后果概览从 1.0.11 开始,检测对象的组件危险及破绽状况概览会间接打印至执行检测的终端界面,不便用户疾速理解总体状况。
图 1:Components 为组件,Vulnerabilities 为破绽;CHML 顺次为重大 / 高危 / 中危 / 低危(无破绽的组件个数没有独自展现)2.2 报错信息无奈执行检测或无奈输入破绽信息时,最常见的起因有两种:一是 – path 参数后输出的文件门路谬误;二是 – url 和 – token 参数输出谬误导致云破绽库服务鉴权失败,无奈进行破绽信息比对及返回。为了便于疾速找出问题,1.0.11 版本的 OpenSCA 会将这两种谬误日志都打印至终端界面。
图 2:path 参数后输出的文件门路谬误报错示例
图 3:url 和 – token 参数输出谬误报错示例 03. 反对输入 Cyclonedx 及 SWID 规范格局 SBOM 清单继 1.0.8 版本反对了国内通用的 SPDX 规范格局的 SBOM 清单输入后,本次更新的 OpenSCA 将能够生成 Cyclonedx 及 SWID 规范格局的 SBOM 清单。
图 4:Cyclonedx 格局 SBOM 清单命令及清单示例通过管制 – out 参数的文件名后缀,即可实现不同格局清单及检测报告的输入~
图 5:swid 格局 SBOM 清单命令示例 04. 进一步晋升检测速度问:OpenSCA 的检测速度与哪些因素无关?答:检测速度与压缩包大小、网络情况和检测语言无关,通常状况下会在几秒到几分钟。v1.0.11 开始在默认逻辑中新增了阿里云镜像库作为 maven 官网库的备用,解决了官网库连贯受限导致的检测速度过慢问题。v1.0.10 及更低版本应用时如遇检测速度异样慢、日志文件中有 maven 连贯失败报错:v1.0.6-v1.0.10 可在配置文件 config.json 中将“maven”字段作如下设置:
设置结束后,确保配置文件和 opensca-cli 在同一目录下,执行 opensca-cli 检测命令加上 – config congif.json 即可,示例:
v1.0.5 及更低版本须要自行批改源码配置镜像库地址,倡议降级到更高版本。以上就是本次更新内容的残缺介绍~ 感激每一位开源社区成员对 OpenSCA 的反对和奉献。咱们激励更多搭档参加到 OpenSCA 开源我的项目的建设中来,成为开源贡献者,有任何倡议都能够发在评论区或者 Gitee、GitHub 上 OpenSCA 我的项目的 Issues 中。让咱们一起拥抱开源,共筑开源平安生态,促成开源产业衰弱倒退。OpenSCA 的代码会在 GitHub 和 Gitee 继续迭代,欢送 Star 和 PR,成为咱们的开源贡献者,也可提交问题或倡议至 Issues。咱们会参考大家的倡议不断完善 OpenSCA 开源我的项目,敬请期待更多功能的反对。GitHub:https://github.com/XmirrorSecurity/OpenSCA-cli/releases Gitee:https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases OpenSCA 官网:https://opensca.xmirror.cn/