开源组件安全漏洞检测主流工具对比 |
您所在的位置:网站首页 › 组件识别 › 开源组件安全漏洞检测主流工具对比 |
下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到开源组件上,需要把代码传到国外网站上,才能对比。国内做的不错的就是北京大学的HoBOT工具了,大家可以去对比了解。 工具名称 Sonatype FossID Blackduck 开源卫士 灏博(HoBOT) 厂商 Sonatype FOSSID Synopsys 奇安信 北京大学 开源组件识别 支持 支持 支持 支持 支持 支持二进制文件 支持 支持 支持 不支持 支持 支持第三方软件 支持 支持 支持 不支持 支持 漏洞检测 支持 支持 支持 支持 支持 软件许可协议分析 支持 支持 支持 不支持 支持 开源项目成熟度评估 不支持 不支持 支持 不支持 不支持 版本升级风险评估 支持,升级路径 支持,升级路径 支持,升级建议 不支持 支持,升级建议 跟踪开源项目动态 支持,跟踪分析 支持,跟踪分析 支持,跟踪分析 未找到依据 支持,跟踪分析 跟随业界漏洞舆情 支持,跟随研究漏洞网站 支持,每小时/周/月 升级 支持, 更新/月(需要连接互联网) 未找到依据 支持,更新周/月 开源项目监控,报告恶意发布 支持,实时监控几百万工具 未找到依据 支持 未找到依据 不支持 知识库规模 未找到依据 3700万开源软件项目 70亿开源文件 228000漏洞项目 2700万开源软件项目 2500种许可证 70000个漏洞 6500个网站数据 3000万开源软件项目 其它数据无依据 4000万开源软件项目 75亿开 20万个漏洞 80多种许可证协议 支持编程语言和文件类型 未找到依据 所有编程语言 所有文件类型 70种编程语言 100种文件类型 Java、Python、JavaScript、.NET、PHP、Swift、Go等主流编程语言 所有编程语言 编程语言对应的默认文件类型 产品架构 B/S B/S C/S B/S B/S 部署方式 本地部署/常规部署(不带库) 本地部署/常规部署(不带库) 本地部署/常规部署(不带库) 未找到依据 本地部署/常规部署(不带库) 检测工程导入方式 Git Git、SVN 项目路径 未找到依据 Git、SVN、压缩文件 加密算法分析 不支持 支持 不支持 不支持 不支持 组件依赖关系分析 未找到依据 支持 支持 支持 支持 漏洞持续监控 支持,警报或邮件 未找到依据 未找到依据 支持,邮件或短信 支持 相似指纹匹配 未找到依据 不支持 支持 不支持 支持 项目两两对比 不支持 不支持 不支持 不支持 支持 误报 未找到依据 零误报 未找到依据 未找到依据 零误报 代码片段 不支持 支持 支持 不支持 支持 部署平台 Linux/Windows/OSx Linux/Windows Linux/Windows(客户端Win) Linux/Windows Linux/Windows RESTAPI API 支持扩展 支持扩展 支持扩展 不支持 不支持 支持CI 支持 Jenkins、Hudson 不支持 不支持 不支持 检测报告 未找到依据 HTML、Excel、SPDX 未找到依据 未找到依据 WORD、PDF 售后服务 未找到依据 维护升级 维护升级 维护升级 咨询服务 维护升级咨询、培训服务 关注安全 关注作者 (完) -------------------------------------------------------------------------------------------------------------------------- |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |