当前位置：首页 > news >正文

甲方安全建设之研发安全-SCA

news 2025/10/16 1:15:18

前言

大多数企业或多或少的会去采购第三方软件，或者研发同学在开发代码时，可能会去使用一些好用的软件包或者依赖包，但是如果这些包中存在恶意代码，又或者在安装包时不小心打错了字母安装了错误的软件包，则可能出现供应链攻击。因此去识别采购或者自研项目中的软件包，来保证其版本足够新、不存在恶意代码是解决供应链的一项重要措施，而SCA（软件成分分析）可以帮助完成这一动作。

OpenSCA-cli

下载地址：
https://github.com/XmirrorSecurity/OpenSCA-cli
使用方法：
首先使用了Docker的方式，快速扫描本地：docker run -ti --rm -v ${PWD}:/src opensca/opensca-cli
笔者选择了一个自身的python项目，没发现风险：

不知道是不是Docker中没漏洞数据库还是Docker中的自带的漏洞数据库太少导致。
再次尝试使用Docker连接其SAAS云端的方式进行扫描，发现可能是Docker内应用程序问题，导致TLS验证失败：

Get "https://opensca.xmirror.cn/oss-saas/api-v1/open-sca-client/aes-key?clientId=SxxxZVL&ossToken=xx-xx-xx-xx-xx": tls: failed to verify certificate: x509: certificate signed by unknown autho

反正核心都是使用opensca-cli ，因此直接使用Github下载的二进制文件进行了本地扫描：

 -token xe43dxxf55-xx-xx-xx-xxx -proj "" -path ${待检测目标路径}

云端还是能扫出不少东西的：

DependencyTrack

下载地址：
https://github.com/DependencyTrack/dependency-track
参考官方文档：
https://docs.dependencytrack.org/getting-started/deploy-docker/
这里使用Docker启动，且先不使用数据库：

curl -LO https://dependencytrack.org/docker-compose.ymldocker-compose up -d

根据docker-compose.yml内容，frontend前端端口是8080，访问8080，使用admin/admin登录：

帮助网安学习，全套资料S信免费领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

这里依然以python项目为例，使用python-sbom生成工具生成sbom：
https://github.com/CycloneDX/cyclonedx-python

python -m pip install cyclonedx-bompython3 -m cyclonedx_py -hpython3 -m cyclonedx_py  requirements -o out.json

然后到Projects->Create project->Components->Upload BOM上传生成的BOM即可。

发现一个问题，就以python为例，DependencyTrack解析的是requirements等方式来获取的软件清单，相比于OpenSCA-cli少了很多，比如hostScan项目中的requirements.txt文件里面的包就是17个，DependencyTrack识别到的就是17个：

而OpenSCA-cli会发现一些依赖的包：

甲方安全建设之研发安全-SCA

前言大多数企业或多或少的会去采购第三方软件，或者研发同学在开发代码时，可能会去使用一些好用的软件包或者依赖包，但是如果这些包中存在恶意代码，又或者在安装包时不小心打错了字母安装了错误的软件包，则可能出现供…...

编程日记 2024/4/9 7:59:06

[html]网页结构以及常见标签用法

哎，我服了，明明之前学了html的，但时间一长我就忘记了，本来flask学到视图了，但涉及到了html我觉得还是需要重新回顾一下,,,,,, web开发技术栈一共有3门语言。分别是： HTML：译作超文本标记语言&am…...

编程日记 2024/4/9 7:53:00

【C语言】if语句选择题

前言题目一： 题目二： 题目三： 题目四： 题目五： 题目六： 题目七： 题目八： 前言关于if语句相关的选择题题目一： 关于if语句说法正确是：( ) A .if语…...

编程日记 2024/4/9 7:50:58

ZLMediaKit ubantu 下编译

1、获取代码 #国内用户推荐从同步镜像网站gitee下载 git clone --depth 1 https://gitee.com/xia-chu/ZLMediaKit cd ZLMediaKit #千万不要忘记执行这句命令 git submodule update --init二、依赖库 Debian系(包括ubuntu）系统下安装依赖的方法： #除了…...

编程日记 2024/4/9 7:49:56

什么是stable diffusion

机器学习中的稳定扩散在机器学习中，特别是在深度学习中，稳定扩散可能指的是通过特定的算法，例如深度学习模型，来稳定地生成数据或样本的过程。例如，一些生成模型能够稳定地从高斯分布中采样，以生成高质量的…...

编程日记 2024/4/9 7:44:52

C++ list链表模拟实现

目录前言： 模拟实现： 迭代器的实现： list类功能函数实现： 初始化成空函数（empty_init）： 构造函数： 拷贝构造函数： 尾插（push_back）: 插入…...

编程日记 2024/4/9 7:35:45

文章目录关于 Prompt关于 PromptTemplate基本创建无变量输入1个变量多变量使用 from_template 自动推断 input_variables 聊天模板使用 from_template 方法构建使用 PromptTemplate 构建 MessagePromptTemplate使用一或多个 MessagePromptTemplates 构建一个 ChatPromptTempla…...

编程日记 2024/4/9 7:31:40

spring cloud gateway openfeign 联合使用产生死锁问题

spring cloud gateway openfeign 联合使用产生死锁问题，应用启动的时候阻塞卡住。 spring.cloud 版本如下 <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><vers…...

编程日记 2024/4/9 7:30:39

【WPF应用37】WPF基本控件-DatePicker的详解与示例

WPF（Windows Presentation Foundation）是微软推出的一个用于构建桌面应用程序的图形子系统。在WPF中，DatePicker控件是一个常用的控件，用于用户选择日期。DatePicker控件提供了一个简洁直观的界面，使用户能够轻松选择日…...

编程日记 2024/4/9 7:27:35

GitHub教程：最新如何从GitHub上下载文件(下载单个文件或者下载整个项目文件)之详细步骤讲解(图文教程)

🐯 GitHub教程：最新如何从GitHub上下载文件(下载单个文件或者下载整个项目文件)之详细步骤讲解(图文教程) 📁 文章目录 🐯 GitHub教程：最新如何从GitHub上下载文件(下载单个文件或者下载整个项目文件)之详细步骤讲解(图…...

编程日记 2024/4/9 7:25:33

编译Nginx配置QUIC/HTTP3.0

1. 安装BoringSSL sudo apt update sudo apt install -y build-essential ca-certificates zlib1g-dev libpcre3 \ libpcre3-dev tar unzip libssl-dev wget curl git cmake ninja-build mercurial \ libunwind-dev pkg-configgit clone --depth1 https://github.com/google/b…...

编程日记 2024/4/9 7:23:31

【JavaWeb】Day38.MySQL概述——数据库设计-DQL

数据库设计——DQL 介绍 DQL英文全称是Data Query Language(数据查询语言)，用来查询数据库表中的记录。查询关键字：SELECT 查询操作是所有SQL语句当中最为常见，也是最为重要的操作。在一个正常的业务系统中，查询操作的使用频次…...

编程日记 2024/4/9 7:19:28

如何使用Java和RabbitMQ实现延迟队列（方式二）？

前言昨天写了一篇关于Java和RabbitMQ使用插件实现延迟队列功能的文章，今天来讲下另外一种方式，不需要RabbitMQ的插件。前期准备，需要安装好docker、docker-compose的运行环境。需要安装RabbitMQ的可以看下面这篇文章。如何使用PHP和R…...

编程日记 2024/4/9 7:17:23

String.valueOf() 将各种数据类型的值转换为它们的字符串

String.valueOf() 是 Java 中 String 类的一个静态方法，用于将各种数据类型的值转换为它们的字符串表示形式。这个方法在多种情况下都非常有用，特别是当你需要将非字符串类型的值转换为字符串时。方法签名 String.valueOf() 方法有多个重载版本&#…...

编程日记 2024/4/9 7:15:21

2024-04-08 NO.6 Quest3 自定义交互事件

文章目录 1 交互事件——更改 Cube 颜色2 交互事件——创建 Cube2.1 非代码方式2.2 代码方式在开始操作前，我们导入上次操作的场景，相关介绍在《2024-04-08 NO.5 Quest3 手势追踪进行 UI 交互-CSDN博客》文章中。 1 交互事件——更改 Cube 颜色 …...

编程日记 2024/4/9 7:14:20

素描进阶：深入探索如何表现石膏像的质感

素描进阶：深入探索如何表现石膏像的质感素描，作为一种古老而经典的绘画方式，历来都被视为是艺术家们探索世界、理解形式与质感的重要工具。而在素描的过程中，如何精准地捕捉并表现物体的质感，是每位艺术家都需要深…...

编程日记 2024/4/9 7:12:17

flutter组件_AlertDialog

官方说明：A Material Design alert dialog. 翻译：一个材料设计警告对话框。作者释义：显示弹窗，类似于element ui中的Dialog组件。 AlertDialog的定义 const AlertDialog({super.key,this.icon,this.iconPadding,this.iconColor,t…...

编程日记 2024/4/9 7:10:15

供应链领域主题：生产制造关键术语和系统

BOM（Bill of Material）物料清单 BOM（Bill of Material）物料清单，是计算机可以识别的产品结构数据文件，也是ERP的主导文件。BOM使系统识别产品结构，也是联系与沟通企业各项业务的纽带。ERP系统中…...

编程日记 2024/4/9 7:07:13

k8s_入门_kubelet安装

安装在大致了解了一些k8s的基本概念之后，我们实际部署一个k8s集群，做进一步的了解 1. 裸机安装采用三台机器，一台机器为Master（控制面板组件）两台机器为Node（工作节点） 机器的准备有两种方式…...

编程日记 2024/4/9 7:06:11

主干网络篇 | YOLOv5/v7 更换骨干网络之 HGNetv2 | 百度新一代超强主干网络

本改进已融入到 YOLOv5-Magic 框架。论文地址：https://arxiv.org/abs/2304.08069 代码地址：https://github.com/PaddlePaddle/PaddleDetection 中文翻译：https://blog.csdn.net/weixin_43694096/article/details/131353118 文章目录 HGNetv2网络结构1.1 主干网络1.2 颈部…...

编程日记 2024/4/9 7:05:10

超短脉冲激光自聚焦效应

前言与目录强激光引起自聚焦效应机理超短脉冲激光在脆性材料内部加工时引起的自聚焦效应，这是一种非线性光学现象，主要涉及光学克尔效应和材料的非线性光学特性。自聚焦效应可以产生局部的强光场，对材料产生非线性响应，可能…...

编程新知 2025/10/15 16:50:28

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（二）

HoST框架核心实现方法详解 - 论文深度解读（第二部分）《Learning Humanoid Standing-up Control across Diverse Postures》系列文章：论文深度解读 + 算法与代码分析（二）作者机构：上海AI Lab, 上海交通大学, 香港大学, 浙江大学, 香港中文大学论文主题：人形机器人…...

编程新知 2025/8/4 18:55:37