调研背景：亲爱的OpenSCA开源社区用户，感谢您一路以来的支持与相伴。随着OpenSCA开源社区的不断发展，我们持续专注安全开发与开源治理实践，为全球用户提供一站式审查治理、SaaS云分析和精准情报预警的开源数字供应链安全赋能。 为了更好地满足用户的需求，提升OpenSCA的实用性和易用

结合社区用户反馈及研发小伙伴的积极探索，OpenSCA项目组再次发力，SaaS版本重大升级啦！用户的需求是OpenSCA前进的动力，欢迎更多感兴趣的朋友们积极试用和反馈~ 更新内容  1全面接入云脉XSBOM供应链安全情报 2强大的资产全局管理页面  更新说明 1.云脉XSBO

按照下述教程快速批量扫描您的仓库，一旦新的攻击或0Day出现，通过资产清单即可快速定位漏洞及影响范围、有效缩短响应时间。安装opensca-cli方法一：一键安装-Windows（需要PowerShell）iex"&{$(irmhttps://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/script

插播：OpenSCA-cli现支持通过homebrew以及winget安装：Mac/Linuxbrewinstallopensca-cliWindowswingetinstallopensca-cli总有小伙伴问起如何在CI/CD中集成OpenSCA，文档它这不就来啦~若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~Jenkins在Jenk

​插播：OpenSCA-cli现支持通过homebrew以及winget安装：Mac/Linuxbrewinstallopensca-cliWindowswingetinstallopensca-cli总有小伙伴问起如何在CI/CD中集成OpenSCA，文档它这不就来啦~若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~Je

从2021年12月发布至今，OpenSCA社区已走过了3个年头。有赖于小伙伴们的支持，社区才能从一颗种子成长为今天的参天大树：第一次GitHubStar数量破百第一次获得用户贡献第一个中国自有数字供应链标准SBOM格式DSDX.......这些都是我们宝贵的共同回忆。为了更好地支持大家，OpenSCASaaS全新上

近日，由Linux基金会主办的2023OpenComplianceSummit（开放合规峰会，简称OCS）在日本东京隆重召开。悬镜安全旗下全球极客开源数字供应链安全社区OpenSCA受邀参与，OpenSCA社区运营负责人奇秋月以“OpenSourceCompliance&SecurityManagementBasedonSBOM”（基于SBOM的开源合规和安

在过往发行版的基础上，结合社区用户提供的大量反馈及研发小伙伴的积极探索，项目组对OpenSCA的解析引擎做了全方位的优化，v3.0.0版本正式发布啦~感谢所有用户的支持和信任~是很多人的一小步聚在一起带着我们的OpenSCA走出了这一大步。之后，也希望越来越多的朋友可以和我们一起建设开源

想跳过下载步骤快速使用OpenSCA检测代码风险？想实现多个项目并发扫描？在DockerImage中使用OpenSCA即可轻松实现。一起来looklook目的方便用户使用最新版本的 OpenSCA-cli保证环境的一致性，消除不同操作系统对结果的影响可以方便在本地维护不同版本的 OpenSCA-cli方便在特定情况下

OpenSCA插件上新啦~JetbrainsIDE插件全新升级，很多朋友提了需求的VSCode咱也支持上啦~当然，CEC-IDE也是兼容的（手动狗头）。OpenSCA-VSCode-plugin v1.0.0插件概述OpenSCAVSCode插件可以检测当前项目中的开源风险，并在可视化界面中展示结果。（支持1.80.0及以上版本）使用说明获取插件在适

新发行版来啦~本次更新主要聚焦兼容性的提升及结果报告格式的增加，另外对部分解析逻辑及使用体验进行了优化。在这里特别鸣谢大佬@Hugo-X在社区仓库提交的PR~后续，OpenSCA项目组会继续致力于完善本地能力闭环，覆盖更多场景。 v1.0.13更新内容本地漏洞库兼容多数据格式支

新发行版来啦~本次更新主要聚焦兼容性的提升及结果报告格式的增加，另外对部分解析逻辑及使用体验进行了优化。在这里特别鸣谢大佬@Hugo-X在社区仓库提交的PR~后续，OpenSCA项目组会继续致力于完善本地能力闭环，覆盖更多场景。v1.0.13更新内容本地漏洞库兼容多数据格式支持SQLite、CSV格

8月10日，2023数字供应链安全大会（DSS2023）在北京·国家会议中心隆重举办。大会由悬镜安全主办，ISC互联网安全大会组委会、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创新

8月10日，2023数字供应链安全大会（DSS2023）在北京·国家会议中心隆重举办。大会由悬镜安全主办，ISC互联网安全大会组委会、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委员会、北京信息化协会信息技术应用创

随着开发模式的敏捷化转型，开源代码在软件制品中的占比越来越大，开源软件已然成为软件供应链的重要组成部分。由于其特殊性，开源代码的引入增加了软件应用的风险面，增强了数字供应链安全的脆弱性，开源风险治理成为数字供应链安全治理中至关重要的一环。作为开源解决方案，低成本、高精度

2023数字供应链安全大会（DSS2023）将于8月10日在北京·国家会议中心举办。本次大会以“开源的力量”为主题，由悬镜安全主办，ISC互联网安全大会组委会、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中国信息通信研究院云计算与大数据研究所、CCF计算机安全专业委会联合发起

新版本来啦~~~~ 一、v1.0.12更新内容优化许可证检出功能，可通过JSON/HTML/SPDX报告获知许可证信息支持HTML报告自定义分页 二、更新说明1、优化许可证检出功能，许可证风险早知道 1.1开源许可证介绍开源软件一般都有对应的开源许可证（OpenSourceLicense）对

叮咚~综合我们接到的各种用户反馈，OpenSCA项目组在1.0.10的基础上迭代了1.0.11版本升级功能优化Java解析逻辑支持打印结果概览及常见报错信息到终端界面支持输出Cyclonedx及SWID标准格式SBOM清单进一步提升检测速度更新说明01Java解析逻辑优化进一步优化Java解析逻辑，将更多特殊情况

OpenSCA知识小课堂开课了！今天主要介绍基于composer包管理器的组件成分解析原理。composer介绍composer是PHP的依赖管理工具。开发者受到Node.js的npm及Ruby的bundler启发，composer设计上与两者有诸多相似。composer的依赖管理文件是composer.json。开发者可以在composer.j

本文主要介绍基于npm包管理器的组件成分解析原理。npm介绍npm(全称NodePackageManager)是Node.js标准的软件包管理器。npm的依赖管理文件是package.json，开发者可以在package.json中指定每个依赖项的版本范围。如果一个项目中存在package.json文件，便可以执行npminstall