【腾讯云代码分析】TCA集成SCA分析开源组件 #1225
xiohuang9
announced in
Announcements
Replies: 0 comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
-
背景概述
软件成分分析(SCA)工具是一种用于识别和管理软件项目中开源和第三方组件的工具。它通过扫描代码库,生成软件物料清单(SBOM),帮助开发者了解所用组件的版本、许可证和已知漏洞。
SCA 工具能够自动检测和报告安全风险、合规性问题以及过时的依赖项,从而提高软件的安全性和合规性。这些工具在现代软件开发中尤为重要,因为它们帮助团队在快速迭代中保持对外部依赖的可见性和控制。
T-SCA(试用版)是一款基于源码扫描的开源组件分析工具,能够自动识别项目源码中使用的开源组件,生成详细的组件清单,并检测潜在的安全漏洞,使得开发者能够轻松管理和监控项目中的开源组件,确保软件开发过程的透明性和可靠性。
工具介绍
TCA主要集成了srcAuditor的能力,这是SCA的一个模块,是面向源码的安全扫描工具,用于分析源码中软件成分,License/Copyright合规风险,安全漏洞,开源组件投毒风险,以及敏感信息泄漏等多维度风险。
静态包管理:
通过扫描包管理信息,比如 go.mod, pom.xml package.json 等存在于源代码或制品包中的包管理相关描述文件,识别软件成分。覆盖几乎所有主流编程语言。
使用指引
开通知识库服务

进入腾讯云控制台的软件成分分析计费管理,购买开通开源组件知识库服务
添加规则

进入TCA,根据指引创建团队、创建项目、接入代码库后,在分析方案-规则配置-自定义规则包-添加规则,工具筛选**T-SCA(试用版)**后添加:
添加配置
分析方案-环境变量里配置开通了知识库服务的腾讯云账号和密码,或者直接在扫描机器(需要用户自行接入)中配置,避免泄露:
注意: 工具会在本地节点机中分析代码库,并连接腾讯云的开源组件知识库比对查询结果,并不会上传任何代码或片段
TCA需要团队自行接入扫描节点,使用SCA工具需要机器提前安装docker,然后节点配置tsca_beta,即可开始扫描。
扫描结果包含:组件信息、CVE、最低修复版本、组件详情链接
联系我们
欢迎访问我们的平台:腾讯云代码分析

使用文档:腾讯云代码分析帮助文档
开源地址:GitHub开源 ;CNB开源
持续为您的代码助力!
扫描可进开源群畅聊技术&答疑解惑
Beta Was this translation helpful? Give feedback.
All reactions