1.下载opensca的源代码到本地
$ git clone https://gitee.com/XmirrorSecurity/OpenSCA-cli.git opensca
2.在本机(windows10)安装go环境(若已安装可忽略,跳转到第三步)
2.1.下载地址:https://golang.google.cn/dl/,下载到本地
image.png
2.2.傻瓜式安装,安装路径默认C盘,可修改安装到其他路径,一直下一步到安装完成
image.png
2.3.安装成功后,打开cmd,输入命令go version
image.png
2.4.配置环境变量(此电脑-高级系统配置-环境变量-系统变量)
image.png
3.在gitbash输入命令
$ cd opensca
$ go work init cli analyzer util
$ go env -w GOPROXY=https://goproxy.cn
$ go build -o opensca-cli cli/main.go
image.png
4.把要扫描的项目git clone 到本地
image.png
5.输入命令进行检测
1.仅检测组件信息
$ opensca-cli -path D:/xxxGit/xxx-service -out d:/xxxGit/xxxserver.json -progress
2.连接云平台
$ opensca-cli -url https://opensca.xmirror.cn -token 8486b2a3-7161-46fd-ac1c-5caee83ba2d6(从opensca登录后复制token令牌) -path D:/xxxGit/xxxx-service -out d:/xxxxGit/xxxxserver.json -progress
3.或使用本地漏洞库
opensca-cli -db db.json -path ${project_path}
image.png
其他参数:
-cache :建议开启,缓存下载的文件(例如 .pom 文件),重复检测相同组件时会节省时间,下载的文件会保存到工具所在目录的.cache 目录下 -cache
-vuln :结果仅保留有漏洞信息的组件,使用该参数将不会保留组件层级结构
6.查看json格式,可先到网站转换
https://www.sojson.com/
image.png
