Gitee Go武器库再添猛将，开源漏洞扫描也能自动化

近两年来，国内各大开源厂商与 Gitee 都在向开发者与企业推行 「开源合规」 的理念，如开源许可证对使用和引用的约束、开源软件中暗藏的法律风险等。

随着时间的推移，开发者们对开源的理解也更加深入，越来越多的开发者会开始关注开源软件的许可证，并且在自己参与开源贡献时会更加关注引入的组件是否合规，更加进步的理念也让国内开源生态更加合规化和国际化。

作为广大开发者参与开源的基础工具，Gitee 的功能当然要与开发者们的理念共同进步。为了让开源作者更快捷地对开源威胁进行管控，Gitee 团队将 OpenSCA 扫描集成进了 Gitee Go 流水线中，实现了在流水线中对线上代码仓库的组件安全扫描能力。

什么是 OpenSCA

OpenSCA 是 SCA（Software Composition Analysis, 软件成分分析） 技术原理的实现。是悬镜安全旗下源鉴 OSS 开源威胁管控产品的开源版本。OpenSCA 继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力，通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险，保障应用开源组件引入的安全。

怎么在 Gitee Go 中使用？

Gitee Go 是 Gitee 推出的一款 CI/CD 工具，可提供持续集成、持续交付（部署）能力，帮助企业不断提升应用交付的质量和效率。通过构建自动化、测试自动化、部署自动化，完成从代码提交到应用交付的自动化。通过交付流程度量，发现效率问题，并推荐优化方案。

1.新建流水线

在项目上方的标签页中选择流水线，开通 Gitee Go 后点击新建流水线。

2.将扫描任务引入流水线

接下来就可以让扫描任务通过 Gitee Go 自动触发了，你可以为扫描任务单独建立一条流水线，同样也可以将其融入进你的工作流中。

3.执行流水线并获得扫描报告

在满足条件后，流水线会自动触发扫描程序，等待其执行完毕后就可以获得这一次 PR 或者 Commit 的开源组件检测报告了。

在扫描报告中，你可以全方位地了解到项目引用了哪些组件和它们的依赖方式，哪些组件是有漏洞的以及组件是否有许可证合规风险。当然，你只需要设置一次流水线即可，Gitee Go 会根据你设置的任务流程自动触发扫描并输出报告。

有了 OpenSCA 的支持，Gitee Go 的能力得到了进一步的加强。目前 Gitee Go 已经实现了构建、测试、扫描、发布、部署的流程自动化，如果你想更深入地认识 Gitee Go，欢迎来官网看看。

👇🏻👇🏻👇🏻

点我去 Gitee Go 官网看看

当然你也可以扫描下方二维码进入 Gitee Go 技术交流群，Gitee 团队的一线技术人员将非常开心和你进行沟通与交流。