四款SCA工具漏洞检出能力测评

本次内容源自近期开源安全研究院公众号《四款SCA工具漏洞检出能力测评》文章（本次仅对工具的漏洞检出能力进行测评），检出结果表明，探方在C/C++语言依赖解析能力上的领先优势极为突出，其他语言依赖解析能力均衡。

以下为原文测评详细内容：

探方

探方是 Scantist自主研发的软件成分分析工具（Software Composition Analysis，SCA），旨在帮助您管理源代码和二进制项目中开源库的安全和法律合规风险，进一步让您充分了解：正在使用哪些开源组件；哪些开源组件易受攻击；哪些开源组件有合规风险。

为了更广泛支持不同的程序语言及客户需求，探方（Scantist SCA）对于种类繁杂的语言及二进制格式均能实现精准检测，支持C/C++,Java,JavaScript,Python,PHP,Ruby,Go等十多种主流语言，并为所有常用语言提供一站式服务，降低运维成本和复杂度。

SourceCheck

开源组件安全及合规管理平台(SourceCheck)是开源网安自主研发的软件成分分析(SCA)产品，用于第三方组件的安全分析与管控，包括企业组件使用管理、组件使用合规审计、新漏洞感知预警、开源代码知识产权审计等，可实现对源码与制品的精准分析，是帮助企业实现开源风险治理的最佳工具。

Seal

Seal是一款软件供应链防火墙软件。Seal旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护，通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全，降低企业安全漏洞修复成本。通过Seal软件供应链防火墙，用户可以获得软件开发生命周期各个环节的可见性，进而以全局视角管理软件供应链。

OSV-Scanner

OSV-Scanner是Google发布的一个为开源分布式数据库OSV.dev提供的一个官方支持的前端工具，能够将项目的依赖项目列表，和影响项目的漏洞相关联。可以通过比对依赖项目和 OSV 漏洞资料库，找出项目的依赖项目中所存在的漏洞。Google 提到，OSV-Scanner 能够生成可靠、高品质的漏洞资讯，以缩小开发人员软件组件列表和 OSV 资料库中的漏洞信息落差。

测评项目

本次测评的测试样本均为gitee/github上的开源项目，选取一下四种热门编程语言各4个项目作为测试样本。

扫描结果

C/C++

从以上数据看出，在C/C++语言的漏洞检出能力上：探方>Sourcecheck=Seal=OSV-Scanner

Go

从以上数据看出，在Go语言的漏洞检出能力上：探方>Seal、Sourcecheck>OSV-Scanner

Java

从以上数据看出，在Java语言的漏洞检出能力上：Sourcecheck、Seal>探方>OSV-Scanner

Python

从以上数据看出，在Python语言的漏洞检出能力上：探方>Seal>Sourcecheck>OSV-Scanner

目前市面上SCA产品各有千秋，企业和用户可以根据产品定位和功能上的差异点按需选择。