开源的软件成分分析工具，扫描项目的三方开源组件依赖及漏洞信息

一、开源项目简介

OpenSCA作为悬镜安全旗下源鉴OSS开源威胁管控产品的开源版本，继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

二、开源协议

使用Apache-2.0开源协议

三、界面展示

四、功能概述

丰富的语言支持，海量知识库支撑

• 支持Java、JavaScript、PHP等多种主流编程语言的软件成分分析
• 云平台实时的组件库、漏洞库、许可证库、特征库等海量知识库支撑

组件依赖解析，可视化SBOM分析

• 组件的直接依赖及间接依赖解析
• 组件安全漏洞分析，快速定位漏洞影响范围并及时修复
• 可视化SBOM（软件物料清单），助力快速梳理内部软件资产

许可合规分析，知识产权安全保障

• 支持主流许可证的检出
• 分析开源许可证的合规性及兼容性风险

企业级核心引擎，更高检出更低误报

• 拥有企业级SCA核心检测引擎及分析引擎
• 基于海量知识库，多源SCA开源应用安全缺陷检测等算法，对特征文件进行精准识别，提高组件的检出率

安全开发

• OpenSCA开源的IDE开源风险检测插件，帮助个人/企业开发者快速定位并修复漏洞
• 开发人员友好，轻量级低成本零门槛安装
• 企业级SCA核心引擎，支持二次开发

安全测试

• 产品第三方开源组件的安全测试
• 提高软件产品安全性，防止应用带病上线

安全管理

• 第三方组件及供应商软件的安全准入
• 企业内部安全组件库的建立
• 软件或组件资产可视化清单梳理
• 安全部门合规审查及相关开源治理工作