开源组件安全漏洞检测主流工具对比

       下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。

        目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到开源组件上,需要把代码传到国外网站上,才能对比。国内做的不错的就是北京大学的HoBOT工具了,大家可以去对比了解。

工具名称

Sonatype

FossID

Blackduck

开源卫士

灏博(HoBOT)

厂商

Sonatype

FOSSID

Synopsys

奇安信

北京大学

开源组件识别

支持

支持

支持

支持

支持

支持二进制文件

支持

支持

支持

不支持

支持

支持第三方软件

支持

支持

支持

不支持

支持

漏洞检测

支持

支持

支持

支持

支持

软件许可协议分析

支持

支持

支持

不支持

支持

开源项目成熟度评估

不支持

不支持

支持

不支持

不支持

版本升级风险评估

支持,升级路径

支持,升级路径

支持,升级建议

不支持

支持,升级建议

跟踪开源项目动态

支持,跟踪分析

支持,跟踪分析

支持,跟踪分析

未找到依据

支持,跟踪分析

跟随业界漏洞舆情

支持,跟随研究漏洞网站

支持,每小时/周/月 升级

支持,  更新/月(需要连接互联网)

未找到依据

支持,更新周/月

开源项目监控,报告恶意发布

支持,实时监控几百万工具

未找到依据

支持

未找到依据

不支持

知识库规模

未找到依据

3700万开源软件项目

70亿开源文件

228000漏洞项目

2700万开源软件项目

2500种许可证

70000个漏洞

6500个网站数据

3000万开源软件项目

其它数据无依据

4000万开源软件项目

75亿开

20万个漏洞

80多种许可证协议

支持编程语言和文件类型

未找到依据

所有编程语言

所有文件类型

70种编程语言

100种文件类型

Java、Python、JavaScript、.NET、PHP、Swift、Go等主流编程语言

所有编程语言

编程语言对应的默认文件类型

产品架构

B/S

B/S

C/S

B/S

B/S

部署方式

本地部署/常规部署(不带库)

本地部署/常规部署(不带库)

本地部署/常规部署(不带库)

未找到依据

本地部署/常规部署(不带库)

检测工程导入方式

Git

Git、SVN

项目路径

未找到依据

Git、SVN、压缩文件

加密算法分析

不支持

支持

不支持

不支持

不支持

组件依赖关系分析

未找到依据

支持

支持

支持

支持

漏洞持续监控

支持,警报或邮件

未找到依据

未找到依据

支持,邮件或短信

支持

相似指纹匹配

未找到依据

不支持

支持

不支持

支持

项目两两对比

不支持

不支持

不支持

不支持

支持

误报

未找到依据

零误报

未找到依据

未找到依据

零误报

代码片段

不支持

支持

支持

不支持

支持

部署平台

Linux/Windows/OSx

Linux/Windows

Linux/Windows(客户端Win)

Linux/Windows

Linux/Windows

RESTAPI  API

支持扩展

支持扩展

支持扩展

不支持

不支持

支持CI

支持

Jenkins、Hudson

不支持

不支持

不支持

检测报告

未找到依据

HTML、Excel、SPDX

未找到依据

未找到依据

WORD、PDF

售后服务

未找到依据

维护升级

维护升级

维护升级 咨询服务

维护升级咨询、培训服务

关注安全  关注作者

(完)

--------------------------------------------------------------------------------------------------------------------------

你可能感兴趣的:(代码安全)