组件分析

源码/制品组件成分分析主要是分析License/Copyright合规风险、安全漏洞、开源组件投毒风险，以及敏感信息泄漏等多维度风险。

源码组件成分分析

• 新建项目/团队代码库方案，进入组件分析配置，打开是否启用开关，启用源码组件分析能力，可按需配置分析修正策略和组件管控策略。

  • 分析修正策略：支持用户维护组件、漏洞、License、安全审计的结果修正规则。

  • 组件管控策略：支持用户维护明确禁止和信任的组件黑白名单。

  • 如果同时应用分析修正策略、组件管控策略，优先执行分析修正策略。

• 接入代码库，选择分析方案，点击启动分析，即可开始源码组件成分分析。

• 分析完成后，可进入分析项目-组件分析，查看最新分析结果。切换版本可查看历史分析任务的分析结果。

  • 敏感信息：可查看敏感私钥、敏感uri密码、敏感ip、敏感邮箱等信息及其暴露位置。

  • 资产清单：可查看包含的开源组件信息。

  • 漏洞审计：可查看检测出的漏洞详情及暴露位置，辅助验证/修复漏洞。

  • License审计：可查看包含风险License的第三方组件，辅助进行合规检查。

制品组件成分分析

• 新建项目/团队制品库方案，默认会开启组件分析开关。

• 接入制品库，选择项目，输入制品仓库名称，点击确定。

• 进入分析项目列表，新建分析项目，选择分析方案，点击确定。点击对应的分析项目启动分析，可输入制品链接或者上传本地制品进行分析。

• 分析完成后，可进入分析项目-组件分析，查看分析结果。

  • 可通过分析历史列表查看历史任务的分析结果。