GVP（Gitee 最有价值开源项目）是开源中国（OSCHINA）旗下平台Gitee综合评定出的优秀开源项目。Gitee作为国内知名的代码托管和协作开发平台，素有“国产GitHub”之称，吸引了超过800万的开发者，托管项目超过2000万，汇聚几乎所有本土原创开源项目，而目前被评为GVP的项目仅有377个（截至本文发稿前）。OpenSCA是唯一入选GVP的SCA（软件成分分析）工具。

图1 GVP证书

开源已覆盖软件开发的全域场景，正在构建新的软件技术创新体系，引领新一代信息技术创新发展，并且深刻影响着数字产业的发展。开源软件已经成为软件产业创新源泉和“标准件库”，与此同时，开源许可证的兼容性、开源项目的合规、开源安全漏洞和开源知识产权侵权等问题也日趋凸显。

悬镜安全秉持“用开源的方式做开源风险治理”这一理念，打造旗下源鉴OSS开源威胁管控平台的开源版本——OpenSCA，该工具继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

此次OpenSCA成为GVP，依托于用户参与友好度以及以产品交付能力驱动的社区运营能力，不单是对开源社区贡献者和运营者的激励，更是进一步证明悬镜开源治理理念的高度和前瞻性。

图2 来源于Gitee官网首页

OpenSCA里程碑

2021/12/30   OpenSCA开源项目在Gitee开源托管平台首次发布（v1.0.0版本）

主要功能：

1. 支持Java、JavaScript、PHP语言项目的开源组件风险检测；
2. 支持组件的直接依赖及间接依赖检测；
3. 支持组件关联漏洞库检测，云平台漏洞库兼容NVD、CNNVD、CNVD；
4. 支持通过插件方式集成至IntelliJ IDEA开发工具中，在开发过程中检测项目内引入的开源组件。

2022/1/18  OpenSCA发布v1.0.1版本

检测能力优化：

完善pom.xml中对exclusion标记的组件的解析。

2022/1/22  OpenSCA发布v1.0.2版本

检测能力提升：

1. 支持JavaScript语言npm包管理器yarn.lock的检测；

2. 支持PHP语言composer依赖管理工具composer.json的检测；

3. 支持Ruby语言gem包管理器gems.locked的检测。

2022/3/25  OpenSCA发布v1.0.3版本

支持Golang语言go mod包管理器go.mod、god.sum文件的解析。

2022/4/7  OpenSCA发布v1.0.4版本

支持Rust语言cargo包管理器cargo.lock文件的解析。

2022/4/21  OpenSCA发布v1.0.5版本

支持erlang语言rebar包管理器rebar.lock文件的解析。

2022/5/30  OpenSCA发布v1.0.6版本

1. 支持HTML格式报告导出

2. 支持Gradle包管理工具的检测

OpenSCA目前主要特性

1. 丰富的语言支持，海量知识库支撑
2. 支持主流编程语言的软件成分分析，如：Java、JavaScript、PHP、Ruby、Golang、Rust、Erlang；
3. 云平台实时的组件库/漏洞库/许可证库/特征库等海量知识库支撑。

2. 企业级核心引擎，更高检出更低误报

• 拥有企业级SCA核心检测引擎及分析引擎；
• 基于海量知识库，多源SCA开源应用安全缺陷检测等算法，对特征文件进行精准识别，提高组件的检出率。

OpenSCA目前检测能力

现已支持以下编程语言对应的包管理器及相关配置文件的解析：

悬镜将持续迭代OpenSCA，为用户提供更多更完善的功能，也欢迎更多伙伴加入社区使用OpenSCA，在Issues中提出宝贵建议，或者参与项目共建，成为开源贡献者。让我们共同维护开放、包容、创新、活力的OpenSCA社区，共筑开源安全生态，守护中国软件供应链安全。

扫描下图二维码免费试用，点击文末“阅读原文”，获取更多OpenSCA相关信息

悬镜安全

悬镜AI（北京安普诺信息技术有限公司）由北京大学白帽黑客团队"Xmirror"主导创立。公司力求以人工智能技术赋能信息安全，在公司研发的产品中，深度结合机器学习、红蓝对抗、攻击链模型等技术，为企事业单位提供前沿高效的DevSecOps全流程AI安全管家服务。