多因子开源监测
Synopsys软件组成分析(SCA)提供多种开源扫描技术,因此您可以在应用程序和容器中获得最完整、最准确的开源视图。我们的开源扫描结合了构建过程监控、文件系统扫描和源代码分析来跟踪所有正在使用的开源,包括大多数SCA工具遗漏的组件。
依赖分析
I与 Maven 和 Gradle 等构建工具集成,跟踪以 Java 和 C# 等语言构建的应用中已公开和过渡性的开源依赖关系。
码纹分析
将字符串、文件和目录信息映射到 Black Duck 知识库,以便在使用 C 和 C++ 等语言构建的应用中识别开源和第三方组件。
二进制分析
识别已编译的应用库和可执行文件中的开源。无需源代码或构建系统访问权限。
代码片段分析
查找开发人员或生成AI编码工具在专有代码中复制的开源代码部分,这可能会使您面临许可证违规和冲突。
容器扫描
使用二进制和CodePrint分析的组合,一层一层地识别容器映像中的开源依赖项。
为什么只有包声明是不够的
其他解决方案大多仅是依赖包管理器声明来识别开源组件。但是这些解决方案遗漏了许多可能出现在代码中的开源,包括:
- 开发人员添加到代码但不在包清单中声明的开源
- 没有包管理器的开源软件(如C、C++)
- 容器内不使用包管理器的开源组件
- 编译构建后的二进制文件中的OSS
- AI编码助手引入的OSS
便于集成到 CI/CD 流水线
我们的SCA集成可以轻松地将开源扫描集成到现有的开发工具和流程中。通过自动识别您正在使用的语言和包管理器、发现配置适当的集成以及找到最有效的方法来分析您的代码。
Synopsys SCA技术
相关内容
