近两年来,国内各大开源厂商与 Gitee 都在向开发者与企业推行 「开源合规」 的理念,如开源许可证对使用和引用的约束、开源软件中暗藏的法律风险等。
随着时间的推移,开发者们对开源的理解也更加深入,越来越多的开发者会开始关注开源软件的许可证,并且在自己参与开源贡献时会更加关注引入的组件是否合规,更加进步的理念也让国内开源生态更加合规化和国际化。
作为广大开发者参与开源的基础工具,Gitee 的功能当然要与开发者们的理念共同进步。为了让开源作者更快捷地对开源威胁进行管控,Gitee 团队将 OpenSCA 扫描集成进了 Gitee Go 流水线中,实现了在流水线中对线上代码仓库的组件安全扫描能力。
什么是 OpenSCA
OpenSCA 是 SCA(Software Composition Analysis, 软件成分分析) 技术原理的实现。是悬镜安全旗下源鉴 OSS 开源威胁管控产品的开源版本。OpenSCA 继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,保障应用开源组件引入的安全。
怎么在 Gitee Go 中使用?
Gitee Go 是 Gitee 推出的一款 CI/CD 工具,可提供持续集成、持续交付(部署)能力,帮助企业不断提升应用交付的质量和效率。通过构建自动化、测试自动化、部署自动化,完成从代码提交到应用交付的自动化。通过交付流程度量,发现效率问题,并推荐优化方案。
1.新建流水线
在项目上方的标签页中选择流水线,开通 Gitee Go 后点击新建流水线。
2.将扫描任务引入流水线
接下来就可以让扫描任务通过 Gitee Go 自动触发了,你可以为扫描任务单独建立一条流水线,同样也可以将其融入进你的工作流中。
3.执行流水线并获得扫描报告
在满足条件后,流水线会自动触发扫描程序,等待其执行完毕后就可以获得这一次 PR 或者 Commit 的开源组件检测报告了。
在扫描报告中,你可以全方位地了解到项目引用了哪些组件和它们的依赖方式,哪些组件是有漏洞的以及组件是否有许可证合规风险。当然,你只需要设置一次流水线即可,Gitee Go 会根据你设置的任务流程自动触发扫描并输出报告。
有了 OpenSCA 的支持,Gitee Go 的能力得到了进一步的加强。目前 Gitee Go 已经实现了构建、测试、扫描、发布、部署的流程自动化,如果你想更深入地认识 Gitee Go,欢迎来官网看看。
👇🏻👇🏻👇🏻
点我去 Gitee Go 官网看看
当然你也可以扫描下方二维码进入 Gitee Go 技术交流群,Gitee 团队的一线技术人员将非常开心和你进行沟通与交流。
