下面是根據筆者從事軟件代碼安全檢測工作的經驗以及對開源組件、第三庫安全漏洞檢測工具的市場調研所獲得的資料,如有錯誤或不妥之處,還請各位指正。如果表格中有一些未知信息你瞭解,請給幫我補充。讓我們更多的瞭解市場上的主流工具。
目前這些工具在國內都有銷售,其中Blackduck很多人都瞭解,前幾年被Synopsys公司所收購,只能在國內銷售不帶庫的版本。要把安全漏洞對應到開源組件上,需要把代碼傳到國外網站上,才能對比。國內做的不錯的就是北京大學的HoBOT工具了,大家可以去對比了解。
工具名稱 |
Sonatype |
FossID |
Blackduck |
開源衛士 |
灝博(HoBOT) |
廠商 |
Sonatype |
FOSSID |
Synopsys |
奇安信 |
北京大學 |
開源組件識別 |
支持 |
支持 |
支持 |
支持 |
支持 |
支持二進制文件 |
支持 |
支持 |
支持 |
不支持 |
支持 |
支持第三方軟件 |
支持 |
支持 |
支持 |
不支持 |
支持 |
漏洞檢測 |
支持 |
支持 |
支持 |
支持 |
支持 |
軟件許可協議分析 |
支持 |
支持 |
支持 |
不支持 |
支持 |
開源項目成熟度評估 |
不支持 |
不支持 |
支持 |
不支持 |
不支持 |
版本升級風險評估 |
支持,升級路徑 |
支持,升級路徑 |
支持,升級建議 |
不支持 |
支持,升級建議 |
跟蹤開源項目動態 |
支持,跟蹤分析 |
支持,跟蹤分析 |
支持,跟蹤分析 |
未找到依據 |
支持,跟蹤分析 |
跟隨業界漏洞輿情 |
支持,跟隨研究漏洞網站 |
支持,每小時/周/月 升級 |
支持, 更新/月(需要連接互聯網) |
未找到依據 |
支持,更新周/月 |
開源項目監控,報告惡意發佈 |
支持,實時監控幾百萬工具 |
未找到依據 |
支持 |
未找到依據 |
不支持 |
知識庫規模 |
未找到依據 |
3700萬開源軟件項目 70億開源文件 228000漏洞項目 |
2700萬開源軟件項目 2500種許可證 70000個漏洞 6500個網站數據 |
3000萬開源軟件項目 其它數據無依據 |
4000萬開源軟件項目 75億開 20萬個漏洞 80多種許可證協議 |
支持編程語言和文件類型 |
未找到依據 |
所有編程語言 所有文件類型 |
70種編程語言 100種文件類型 |
Java、Python、JavaScript、.NET、PHP、Swift、Go等主流編程語言 |
所有編程語言 編程語言對應的默認文件類型 |
產品架構 |
B/S |
B/S |
C/S |
B/S |
B/S |
部署方式 |
本地部署/常規部署(不帶庫) |
本地部署/常規部署(不帶庫) |
本地部署/常規部署(不帶庫) |
未找到依據 |
本地部署/常規部署(不帶庫) |
檢測工程導入方式 |
Git |
Git、SVN |
項目路徑 |
未找到依據 |
Git、SVN、壓縮文件 |
加密算法分析 |
不支持 |
支持 |
不支持 |
不支持 |
不支持 |
組件依賴關係分析 |
未找到依據 |
支持 |
支持 |
支持 |
支持 |
漏洞持續監控 |
支持,警報或郵件 |
未找到依據 |
未找到依據 |
支持,郵件或短信 |
支持 |
相似指紋匹配 |
未找到依據 |
不支持 |
支持 |
不支持 |
支持 |
項目兩兩對比 |
不支持 |
不支持 |
不支持 |
不支持 |
支持 |
誤報 |
未找到依據 |
零誤報 |
未找到依據 |
未找到依據 |
零誤報 |
代碼片段 |
不支持 |
支持 |
支持 |
不支持 |
支持 |
部署平臺 |
Linux/Windows/OSx |
Linux/Windows |
Linux/Windows(客戶端Win) |
Linux/Windows |
Linux/Windows |
RESTAPI API |
支持擴展 |
支持擴展 |
支持擴展 |
不支持 |
不支持 |
支持CI |
支持 |
Jenkins、Hudson |
不支持 |
不支持 |
不支持 |
檢測報告 |
未找到依據 |
HTML、Excel、SPDX |
未找到依據 |
未找到依據 |
WORD、PDF |
售後服務 |
未找到依據 |
維護升級 |
維護升級 |
維護升級 諮詢服務 |
維護升級諮詢、培訓服務 |
關注安全 關注作者
(完)
--------------------------------------------------------------------------------------------------------------------------