開源組件安全漏洞檢測主流工具對比

       下面是根據筆者從事軟件代碼安全檢測工作的經驗以及對開源組件、第三庫安全漏洞檢測工具的市場調研所獲得的資料，如有錯誤或不妥之處，還請各位指正。如果表格中有一些未知信息你瞭解，請給幫我補充。讓我們更多的瞭解市場上的主流工具。

        目前這些工具在國內都有銷售，其中Blackduck很多人都瞭解，前幾年被Synopsys公司所收購，只能在國內銷售不帶庫的版本。要把安全漏洞對應到開源組件上，需要把代碼傳到國外網站上，才能對比。國內做的不錯的就是北京大學的HoBOT工具了，大家可以去對比了解。

工具名稱	Sonatype	FossID	Blackduck	開源衛士	灝博（HoBOT）
廠商	Sonatype	FOSSID	Synopsys	奇安信	北京大學
開源組件識別	支持	支持	支持	支持	支持
支持二進制文件	支持	支持	支持	不支持	支持
支持第三方軟件	支持	支持	支持	不支持	支持
漏洞檢測	支持	支持	支持	支持	支持
軟件許可協議分析	支持	支持	支持	不支持	支持
開源項目成熟度評估	不支持	不支持	支持	不支持	不支持
版本升級風險評估	支持，升級路徑	支持，升級路徑	支持，升級建議	不支持	支持，升級建議
跟蹤開源項目動態	支持，跟蹤分析	支持，跟蹤分析	支持，跟蹤分析	未找到依據	支持，跟蹤分析
跟隨業界漏洞輿情	支持，跟隨研究漏洞網站	支持，每小時/周/月 升級	支持,  更新/月（需要連接互聯網）	未找到依據	支持，更新周/月
開源項目監控，報告惡意發佈	支持，實時監控幾百萬工具	未找到依據	支持	未找到依據	不支持
知識庫規模	未找到依據	3700萬開源軟件項目 70億開源文件 228000漏洞項目	2700萬開源軟件項目 2500種許可證 70000個漏洞 6500個網站數據	3000萬開源軟件項目 其它數據無依據	4000萬開源軟件項目 75億開 20萬個漏洞 80多種許可證協議
支持編程語言和文件類型	未找到依據	所有編程語言 所有文件類型	70種編程語言 100種文件類型	Java、Python、JavaScript、.NET、PHP、Swift、Go等主流編程語言	所有編程語言 編程語言對應的默認文件類型
產品架構	B/S	B/S	C/S	B/S	B/S
部署方式	本地部署/常規部署（不帶庫）	本地部署/常規部署（不帶庫）	本地部署/常規部署（不帶庫）	未找到依據	本地部署/常規部署（不帶庫）
檢測工程導入方式	Git	Git、SVN	項目路徑	未找到依據	Git、SVN、壓縮文件
加密算法分析	不支持	支持	不支持	不支持	不支持
組件依賴關係分析	未找到依據	支持	支持	支持	支持
漏洞持續監控	支持，警報或郵件	未找到依據	未找到依據	支持，郵件或短信	支持
相似指紋匹配	未找到依據	不支持	支持	不支持	支持
項目兩兩對比	不支持	不支持	不支持	不支持	支持
誤報	未找到依據	零誤報	未找到依據	未找到依據	零誤報
代碼片段	不支持	支持	支持	不支持	支持
部署平臺	Linux/Windows/OSx	Linux/Windows	Linux/Windows（客戶端Win）	Linux/Windows	Linux/Windows
RESTAPI  API	支持擴展	支持擴展	支持擴展	不支持	不支持
支持CI	支持	Jenkins、Hudson	不支持	不支持	不支持
檢測報告	未找到依據	HTML、Excel、SPDX	未找到依據	未找到依據	WORD、PDF
售後服務	未找到依據	維護升級	維護升級	維護升級 諮詢服務	維護升級諮詢、培訓服務

關注安全  關注作者

（完）

--------------------------------------------------------------------------------------------------------------------------