¶ 检测模式说明
¶ 一、功能简介
在软件开发和部署过程中,为帮助开发团队和安全团队识别安全漏洞和提高开源组件的可管理性,我们提供了五种常见的扫描方法。以便根据实际的需求和环境,选择适合的扫描方法,并结合安全最佳实践,以确保项目的可靠性和安全性。
¶ 二、五大扫描方式
¶ 2.1 标准扫描
标准扫描 是一种全方位的扫描方法,它通过分析项目中的源代码、二进制文件等,获取最全面的开源组件信息和存在的漏洞。通过使用 标准扫描,您可以发现项目中使用的各种开源组件,并提供与这些组件相关的漏洞报告。
支持扫描 二进制、源代码、容器镜像、固件 的混合扫描方式
是否编译 选项:开启后,扫描时会通过模拟项目构建来获得更精确的依赖列表;关闭则扫描速度更快
漏洞真实影响评估 选项:开启后,扫描时会深入分析漏洞是否会被真实触发,有助于提升漏洞实际威胁和修复优先级的判断
¶ 2.2 二进制扫描
二进制扫描 是专门用于检测二进制文件的扫描方法。它可以识别二进制文件中的开源组件和存在的漏洞。通过分析可执行文件等二进制文件,提供与这些组件相关的安全漏洞信息。
支持仅扫描 二进制 的方式
是否编译 选项:开启后,扫描时会通过模拟项目构建来获得更精确的依赖列表;关闭则扫描速度更快
漏洞真实影响评估 选项:开启后,扫描时会深入分析漏洞是否会被真实触发,有助于提升漏洞实际威胁和修复优先级的判断
¶ 2.3 依赖配置扫描
依赖配置扫描 是一种通过分析项目源代码中的依赖配置文件来识别开源组件和存在漏洞的方法。它能够检测项目所依赖的开源库及其版本,并提供与这些库相关的漏洞信息。通过分析Maven的pom.xml、Python的requirements.txt等依赖配置文件,依赖配置扫描 能够帮助您识别项目中使用的开源组件和潜在的安全风险。
支持仅扫描 源代码 的方式
是否编译 选项:开启后,扫描时会通过模拟项目构建来获得更精确的依赖列表;关闭则扫描速度更快
漏洞真实影响评估 选项:开启后,扫描时会深入分析漏洞是否会被真实触发,有助于提升漏洞实际威胁和修复优先级的判断
¶ 2.4 容器镜像扫描
容器镜像扫描 是专门用于检测容器镜像中的开源组件和漏洞的扫描方法。容器镜像是一种独立的、可运行的软件单元,其中包含了应用程序及其所有的依赖项。通过使用 容器镜像扫描,您可以发现镜像中的开源组件及其相关的漏洞,并获得相应的安全建议。
支持仅扫描 容器镜像 的方式
是否编译 选项:开启后,扫描时会通过模拟项目构建来获得更精确的依赖列表;关闭则扫描速度更快
漏洞真实影响评估 选项:开启后,扫描时会深入分析漏洞是否会被真实触发,有助于提升漏洞实际威胁和修复优先级的判断
¶ 2.5 固件扫描
固件扫描 是一种专门针对固件文件进行检测的扫描方法。固件是嵌入式设备上预装的软件,而固件扫描可以帮助识别固件中的开源组件,并检测其中存在的漏洞。由于漏洞可能导致嵌入式设备易受攻击,固件扫描 对于确保设备安全至关重要。
支持仅扫描 固件 的方式
是否编译 选项:开启后,扫描时会通过模拟项目构建来获得更精确的依赖列表;关闭则扫描速度更快
漏洞真实影响评估 选项:开启后,扫描时会深入分析漏洞是否会被真实触发,有助于提升漏洞实际威胁和修复优先级的判断