下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。
目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到开源组件上,需要把代码传到国外网站上,才能对比。国内做的不错的就是北京大学的HoBOT工具了,大家可以去对比了解。
工具名称 |
Sonatype |
FossID |
Blackduck |
开源卫士 |
灏博(HoBOT) |
厂商 |
Sonatype |
FOSSID
扫描二维码关注公众号,回复:
10242232 查看本文章
|
Synopsys |
奇安信 |
北京大学 |
开源组件识别 |
支持 |
支持 |
支持 |
支持 |
支持 |
支持二进制文件 |
支持 |
支持 |
支持 |
不支持 |
支持 |
支持第三方软件 |
支持 |
支持 |
支持 |
不支持 |
支持 |
漏洞检测 |
支持 |
支持 |
支持 |
支持 |
支持 |
软件许可协议分析 |
支持 |
支持 |
支持 |
不支持 |
支持 |
开源项目成熟度评估 |
不支持 |
不支持 |
支持 |
不支持 |
不支持 |
版本升级风险评估 |
支持,升级路径 |
支持,升级路径 |
支持,升级建议 |
不支持 |
支持,升级建议 |
跟踪开源项目动态 |
支持,跟踪分析 |
支持,跟踪分析 |
支持,跟踪分析 |
未找到依据 |
支持,跟踪分析 |
跟随业界漏洞舆情 |
支持,跟随研究漏洞网站 |
支持,每小时/周/月 升级 |
支持, 更新/月(需要连接互联网) |
未找到依据 |
支持,更新周/月 |
开源项目监控,报告恶意发布 |
支持,实时监控几百万工具 |
未找到依据 |
支持 |
未找到依据 |
不支持 |
知识库规模 |
未找到依据 |
3700万开源软件项目 70亿开源文件 228000漏洞项目 |
2700万开源软件项目 2500种许可证 70000个漏洞 6500个网站数据 |
3000万开源软件项目 其它数据无依据 |
4000万开源软件项目 75亿开 20万个漏洞 80多种许可证协议 |
支持编程语言和文件类型 |
未找到依据 |
所有编程语言 所有文件类型 |
70种编程语言 100种文件类型 |
Java、Python、JavaScript、.NET、PHP、Swift、Go等主流编程语言 |
所有编程语言 编程语言对应的默认文件类型 |
产品架构 |
B/S |
B/S |
C/S |
B/S |
B/S |
部署方式 |
本地部署/常规部署(不带库) |
本地部署/常规部署(不带库) |
本地部署/常规部署(不带库) |
未找到依据 |
本地部署/常规部署(不带库) |
检测工程导入方式 |
Git |
Git、SVN |
项目路径 |
未找到依据 |
Git、SVN、压缩文件 |
加密算法分析 |
不支持 |
支持 |
不支持 |
不支持 |
不支持 |
组件依赖关系分析 |
未找到依据 |
支持 |
支持 |
支持 |
支持 |
漏洞持续监控 |
支持,警报或邮件 |
未找到依据 |
未找到依据 |
支持,邮件或短信 |
支持 |
相似指纹匹配 |
未找到依据 |
不支持 |
支持 |
不支持 |
支持 |
项目两两对比 |
不支持 |
不支持 |
不支持 |
不支持 |
支持 |
误报 |
未找到依据 |
零误报 |
未找到依据 |
未找到依据 |
零误报 |
代码片段 |
不支持 |
支持 |
支持 |
不支持 |
支持 |
部署平台 |
Linux/Windows/OSx |
Linux/Windows |
Linux/Windows(客户端Win) |
Linux/Windows |
Linux/Windows |
RESTAPI API |
支持扩展 |
支持扩展 |
支持扩展 |
不支持 |
不支持 |
支持CI |
支持 |
Jenkins、Hudson |
不支持 |
不支持 |
不支持 |
检测报告 |
未找到依据 |
HTML、Excel、SPDX |
未找到依据 |
未找到依据 |
WORD、PDF |
售后服务 |
未找到依据 |
维护升级 |
维护升级 |
维护升级 咨询服务 |
维护升级咨询、培训服务 |
关注安全 关注作者
(完)
--------------------------------------------------------------------------------------------------------------------------