1.SCA简介
SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。我们知道在当今软件开发中引入开源软件(注)到你的项目中,避免重复造轮子是大家都再熟悉不过的了,比如开源库中开源软件按每年21%速度在增长(来源Forrestel报告),开源安全威胁成为企业组织无法回避的话题,而应用SCA技术对应用程序进行安全检测,实现安全管理是最行之有效的方法之
https://blog.csdn.net/weixin_53009585/article/details/141683218
2.SCA实践—MurphaSec使用
文档:https://www.murphysec.com/docs/
2.1.IDEA插件模式检测
下载IDEA插件,配置token后即可正常使用
点击开始扫描
去Web页面的控制台看输出结果
2.2.代码托管平台检测
集成方式—选择项目所在平台
和github绑定后选择对应的项目
可以配置相关通知信息
2.3.钉钉添加通知
选择自定义机器人
需要自定义关键字[墨菲安全]即可收到通知
|
|
3.SCA实践–Snyk使用
https://mp.weixin.qq.com/s/3CVEBTM01my7r0q6uX_xdQ
