SIG-compliance双周例会:
时间:2021年6月1日 下午15:30-17:00
与会者(请与会者在下面添加您的姓名):杨昭、王悦良、杨聪、王建民、颜小兵、陈一雄 、吕非、李冠庆、王小军、郑志鹏、黄威俊、魏东、何仁贵、孟朝明
议题(描述-发起人):
1.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 李冠庆
2. 代码血缘关系分析报告确认系统试用前演示交流 王小军
3 解读开源软件license并分析license兼容性 李自
会议纪要:
1.scantist工具与其它license扫描和漏洞扫描工具优缺点对比分享 责任人:李冠庆
刘杨教授团队开发了scantist工具,主要功能是对开源软件合规及漏洞风险进行静态扫描。工具的详细内容可参考4月13日的会议纪要。
这次分享与Synk(S厂)的fossid、Whitesource公司(W厂)扫描工具进行了比较,从下面的对比图可看出,fossid不支持多维度(第三方组件、许可证友好度、bug是否修复)合规政策,Whitesource不包含信息通知(如漏洞已修复)机制;
scantist的在支持多维度合规政策和信息通知机制的基础上,引入了许可证属性分析:
(1)企业可自定义合规政策(白名单+黑名单),如MIT协议许可证加入白名单、GPL协议许可证加入黑名单;
(2)可通过定义许可证属性防范未知许可证,如第三方许可证协议里包含使用该软件必须开源等字段则给出不建议引入第三方软件的意见;
(3)可通过组件内容、有无修复内容等情况,多维度制定政策。如基于许可证属性引入了打分机制,许可证的友好程度作为打分的评断标准之一,方便用户判断。
2.代码血缘关系分析报告确认系统试用前演示交流 责任人:王小军
集成scanoss软件到jenkins门禁系统上,提供代码血缘关系分析能力。系统提供了基于PR触发和全量扫描的能力,生成的报告中:
- 会显示提交的代码与开源软件的相似度,并给出开源软件的链接,提交者需要确认是抄袭的代码。
- 当相似代码经过提交者确认后,再次扫描时不会再提示代码疑似抄袭。
系统也可以自定义扫描时间,如一天或者一周扫描一次等;另外,系统还提供漏洞检测功能并给出漏洞的评分。这个工具的配置会陆续开源,并提供给大家使用。
现在这个软件系统已经陆续开放使用,可通过web界面查看已上线的仓库的扫描报告:
生产环境:HTTPS://SCA.OSINFRA.CN/ 测试环境:HTTP://159.138.49.20:39100/
遗留问题:
由于相关责任人时间冲突,可在下次例会进行分享
1.解读开源软件license并分析license兼容性 责任人:李自