FOSSID快速使用步骤

登陆以后，打开向导

根据向导新建项目，输入project code和project name，点击create

注意：project name必须输入，Project Code可以自动生成。

分配角色，点击Done

创建scan，输入scan code和scan name，点击create

上传代码，点击browse上传或拖动文件。注意，文件夹请压缩

代码上传完成以后，点击done，进入扫描参数设置界面

设置扫描参数，点击scan，开始扫描代码

说明：

1. 设置匹配结果的最大显示数目

2. 设置代码片段扫描的灵敏度，设置的数值表示可以匹配到的最少的代码行数（最小为6）

3. 自动检测文件内部的License 声明

4. 自动检测文件内部包含的版权声明

    

如果扫描时间比较长，则在扫描结束后，直接在扫描列表中点击扫描名称，则也可跳转到文件展示页面，查看文件扫描结果。

扫描结束后，会自动跳转到文件展示页面。文件展示页面，说明

说明：

1：根据过滤项显示文件列表

2：所有文件

3：待确认文件

4：已经确认过的文件

5：没有匹配结果的文件

6：显示的匹配到的组件

扫描结果确认

注意：扫描结果确认主要是从扫描匹配的结果中选择所需要的项目。其中，All files列出所有的扫描文件，Pending identification 是待确认文件，marked as identified是已经确认的文件，without matches是没有匹配结果的文件。扫描结果确认就是确认Pending identification下的文件。

 

1. 组件确认，即一次确认多个文件，选择确认图标，在确认页面选择apply。确认过的文件在“marked as identified”页签中可见。

1. 一次确认一个文件。从匹配列表中选择合适的组件，点击“use as identification”图标，再点击“mark as identified”图标，完成确认过程。

生成报告

选择“Generate Report”。在“Generate Report”页面，选择合适的类型，生成报告。

查看并分析报告

报告生成后，可以直接在线打开，也可以存储为PDF文档。大多数用户看报告，会注意以下几点：

 

1. 开源代码占比。这里指涉及开源代码的文件数占总文件数的比例；

2. 开源许可证占比。这里指涉及使用不同开源许可证的文件数占总开源文件数的比例；

3. 开源许可证的合规性。这里主要检查是否存在类似GPL的传染性许可证，因为此类型许可证要求用户必须使用同类型许可证再开源，也不允许商用。一旦用户违规商业，可能会面临法律风险。建议用户谨慎处理。

4. 被动引入的安全漏洞。报告中会列出全部由于用户使用这些开源代码可能会引入的安全漏洞（美国安全漏洞库链接），并给出安全等级和严重程度。建议用户根据实际情况进行处理。

5. 软件著作权。报告中还会显示某些开源软件中带有的软件著作权（Copyright）信息，这些信息也建议用户谨慎处理，避免可能的法律风险。

6. 开源组件的管理。报告中会详细列出被扫描软件包中使用的开源软件组件信息（包括许可证和安全漏洞信息），便于软件研发企业或者使用部门进行开源组件的管理。