本次內(nèi)容源自近期開源安全研究院公眾號《四款SCA工具漏洞檢出能力測評》文章（本次僅對工具的漏洞檢出能力進行測評），檢出結(jié)果表明，探方在C/C++語言依賴解析能力上的領(lǐng)先優(yōu)勢極為突出，其他語言依賴解析能力均衡。

以下為原文測評詳細內(nèi)容：

探方

探方是 Scantist自主研發(fā)的軟件成分分析工具（Software Composition Analysis，SCA），旨在幫助您管理源代碼和二進制項目中開源庫的安全和法律合規(guī)風險，進一步讓您充分了解：正在使用哪些開源組件；哪些開源組件易受攻擊；哪些開源組件有合規(guī)風險。

為了更廣泛支持不同的程序語言及客戶需求，探方（Scantist SCA）對于種類繁雜的語言及二進制格式均能實現(xiàn)精準檢測，支持C/C++,Java,JavaScript,Python,PHP,Ruby,Go等十多種主流語言，并為所有常用語言提供一站式服務(wù)，降低運維成本和復(fù)雜度。

SourceCheck

開源組件安全及合規(guī)管理平臺(SourceCheck)是開源網(wǎng)安自主研發(fā)的軟件成分分析(SCA)產(chǎn)品，用于第三方組件的安全分析與管控，包括企業(yè)組件使用管理、組件使用合規(guī)審計、新漏洞感知預(yù)警、開源代碼知識產(chǎn)權(quán)審計等，可實現(xiàn)對源碼與制品的精準分析，是幫助企業(yè)實現(xiàn)開源風險治理的最佳工具。

Seal

Seal是一款軟件供應(yīng)鏈防火墻軟件。Seal旨在為企業(yè)提供代碼安全、構(gòu)建安全、依賴項安全及運行環(huán)境安全等4大防護，通過全鏈路掃描、問題關(guān)聯(lián)及風險組織的方式保護企業(yè)軟件供應(yīng)鏈安全，降低企業(yè)安全漏洞修復(fù)成本。通過Seal軟件供應(yīng)鏈防火墻，用戶可以獲得軟件開發(fā)生命周期各個環(huán)節(jié)的可見性，進而以全局視角管理軟件供應(yīng)鏈。

OSV-Scanner

OSV-Scanner是Google發(fā)布的一個為開源分布式數(shù)據(jù)庫OSV.dev提供的一個官方支持的前端工具，能夠?qū)㈨椖康囊蕾図椖苛斜恚陀绊戫椖康穆┒聪嚓P(guān)聯(lián)。可以通過比對依賴項目和 OSV 漏洞資料庫，找出項目的依賴項目中所存在的漏洞。Google 提到，OSV-Scanner 能夠生成可靠、高品質(zhì)的漏洞資訊，以縮小開發(fā)人員軟件組件列表和 OSV 資料庫中的漏洞信息落差。

測評項目

本次測評的測試樣本均為gitee/github上的開源項目，選取一下四種熱門編程語言各4個項目作為測試樣本。

掃描結(jié)果

C/C++

從以上數(shù)據(jù)看出，在C/C++語言的漏洞檢出能力上：探方>Sourcecheck=Seal=OSV-Scanner

Go

從以上數(shù)據(jù)看出，在Go語言的漏洞檢出能力上：探方>Seal、Sourcecheck>OSV-Scanner

Java

從以上數(shù)據(jù)看出，在Java語言的漏洞檢出能力上：Sourcecheck、Seal>探方>OSV-Scanner

Python

從以上數(shù)據(jù)看出，在Python語言的漏洞檢出能力上：探方>Seal>Sourcecheck>OSV-Scanner

目前市面上SCA產(chǎn)品各有千秋，企業(yè)和用戶可以根據(jù)產(chǎn)品定位和功能上的差異點按需選擇。