开源组件安全漏洞检测主流工具对比
目录
开源组件安全漏洞检测主流工具对比
下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。
目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到开源组件上,需要把代码传到国外网站上,才能对比。国内做的不错的就是北京大学的HoBOT工具了,大家可以去对比了解。
| 工具名称 | Sonatype | FossID | Blackduck | 开源卫士 | 灏博(HoBOT) |
|---|---|---|---|---|---|
| 厂商 | Sonatype | FOSSID | Synopsys | 奇安信 | 北京大学 |
| 开源组件识别 | 支持 | 支持 | 支持 | 支持 | 支持 |
| 支持二进制文件 | 支持 | 支持 | 支持 | 不支持 | 支持 |
| 支持第三方软件 | 支持 | 支持 | 支持 | 不支持 | 支持 |
| 漏洞检测 | 支持 | 支持 | 支持 | 支持 | 支持 |
| 软件许可协议分析 | 支持 | 支持 | 支持 | 不支持 | 支持 |
| 开源项目成熟度评估 | 不支持 | 不支持 | 支持 | 不支持 | 不支持 |
| 版本升级风险评估 | 支持,升级路径 | 支持,升级路径 | 支持,升级建议 | 不支持 | 支持,升级建议 |
| 跟踪开源项目动态 | 支持,跟踪分析 | 支持,跟踪分析 | 支持,跟踪分析 | 未找到依据 | 支持,跟踪分析 |
| 跟随业界漏洞舆情 | 支持,跟随研究漏洞网站 | 支持,每小时/周/月 升级 | 支持, 更新/月(需要连接互联网) | 未找到依据 | 支持,更新周/月 |
| 开源项目监控,报告恶意发布 | 支持,实时监控几百万工具 | 未找到依据 | 支持 | 未找到依据 | 不支持 |
| 知识库规模 | 未找到依据 | 3700万开源软件项目 70亿开源文件 228000漏洞项目 | 2700万开源软件项目 2500种许可证 70000个漏洞 6500个网站数据 | 3000万开源软件项目 其它数据无依据 | 4000万开源软件项目 75亿开 20万个漏洞 80多种许可证协议 |
| 支持编程语言和文件类型 | 未找到依据 | 所有编程语言 所有文件类型 | 70种编程语言 100种文件类型 | Java、Python、JavaScript、.NET、PHP、Swift、Go等主流编程语言 | 所有编程语言 编程语言对应的默认文件类型 |
| 产品架构 | B/S | B/S | C/S | B/S | B/S |
| 部署方式 | 本地部署/常规部署(不带库) | 本地部署/常规部署(不带库) | 本地部署/常规部署(不带库) | 未找到依据 | 本地部署/常规部署(不带库) |
| 检测工程导入方式 | Git | Git、SVN | 项目路径 | 未找到依据 | Git、SVN、压缩文件 |
| 加密算法分析 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 |
| 组件依赖关系分析 | 未找到依据 | 支持 | 支持 | 支持 | 支持 |
| 漏洞持续监控 | 支持,警报或邮件 | 未找到依据 | 未找到依据 | 支持,邮件或短信 | 支持 |
| 相似指纹匹配 | 未找到依据 | 不支持 | 支持 | 不支持 | 支持 |
| 项目两两对比 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
| 误报 | 未找到依据 | 零误报 | 未找到依据 | 未找到依据 | 零误报 |
| 代码片段 | 不支持 | 支持 | 支持 | 不支持 | 支持 |
| 部署平台 | Linux/Windows/OSx | Linux/Windows | Linux/Windows(客户端Win) | Linux/Windows | Linux/Windows |
| RESTAPI API | 支持扩展 | 支持扩展 | 支持扩展 | 不支持 | 不支持 |
| 支持CI | 支持 | Jenkins、Hudson | 不支持 | 不支持 | 不支持 |
| 检测报告 | 未找到依据 | HTML、Excel、SPDX | 未找到依据 | 未找到依据 | WORD、PDF |
| 售后服务 | 未找到依据 | 维护升级 | 维护升级 | 维护升级 咨询服务 | 维护升级咨询、培训服务 |
关注安全 关注作者
(完)