AtomGit-fosseye 使用手册
1. 访问“软件供应链安全检测平台”
打开 AtomGit-开放市场,点击软件供应链安全检测平台进入应用详情。
2. 授权登录
点击应用信息-跳转图标,进入平台进行授权登录。
3. 创建所属产品
授权成功进入平台,点击任意一种添加项目方式-点击立即前往创建所属产品(按操作指引进行创建)。
4. 关联代码仓库
点击左侧菜单-项目检测-关联代码仓库,选择 Atomgit 仓库下的项目-点击下一步进行解析配置-填写所属项目、项目名称等必填信息-点击确定按钮完成项目创建。
5. 检测状态
检测列表会自动更新项目的检测状态,当检测状态显示为绿色✅,表示检测成功。此时点击项目名称可查看详情。支持展示项目名称、安全风险、许可证风险、来源、产品等信息。
6. 项目详情
项目详情包含概览、源码、组件、漏洞、许可证、报告、解析记录、解析配置,可点击不同tab 切换查看结果。
6.1 项目详情-概览
支持提供项目数据概览信息展示,包括成分清单、结果概览等,并支持自动生成数据 表、数据图形。包括项目基本信息、项目成分清单、开源率、安全漏洞、高风险许可证、兼容风险、篡改 风险及相关风险趋势图。
- 基本信息:被测项目的基础信息,包括测试创建时间、测试耗时、测试创建人、当前检测配置以及MD5 编号,MD5 编号通过平台自动抽取特征生成。
- 成分清单:被测项目的成分信息,包括项目包含组件数、许可证数、文件数、代码总行数、有效代码行数、注释行数 空行数及项目容量 其中有效代码行数=代码总行数-注释行数-空行数.
- 结果概览:该项目整体的分析结果和概述,包括开源率、安全漏洞数、高风险许可证数、兼容风险、篡改风险等。其中开源率是指在该项目中引用的开源成分占比,篡改风险是指对许可证信息进行修改或伪造的行为。
- 漏洞风险:该项目的漏洞风险分布情况,安全漏洞根据CVSS评分可分为严重、高危、中危、低危四个等级,CVSS得分0-3.9为低危型漏洞;得分4-6.9为中危型漏洞;得分为7-8.9为高危型漏洞;得分9-10为严重型漏洞,对于未定义等级漏洞显示为not-standard。
- 物料分布:该项目中语言分布及其文件分布情况。风险趋势:该项目在一段时间内的风险变化趋势,包括漏洞风险和许可证风险的变化情况。
6.2 项目详情-组件
支持对被测项目中包含的所有组件及组件详细信息、SBOM清单的展示。
- 组件名称:项目中使用的具体开源或第三方软件包的名称,提供超链接供用户点击跳转至对应组件详情页面。
- 声明版本:软件包在其声明文件中指定的版本号。
- 使用版本:实际在项目中安装和使用的具体版本号,提供超链接供用户点击跳转至对应版本组件的详情页面。
- 包管理器:用于管理和安装软件包的工具或平台。
- 是否开源:软件包是否为开源状态,显示类型包括:开源、非开源、疑似开源、自研。
- 声明许可证:软件包在其声明文件中指定的开源许可证,提供超链接供用户点击跳转至对应许可证的详情页面。
- 安全风险:该软件包相关的安全漏洞,提供超链接供用户点击跳转至具体漏洞信息页面。安全漏洞根据CVSS评分可分为严重、高危、中危、低危四个等级,CVSS得分0-3.9为低危型漏洞;得分4-6.9为中危型漏洞;得分为7-8.9为高危型漏洞;得分9-10为严重型漏洞。
- 引入方式:软件包被引入项目的方式,可分为直接依赖、间接依赖和二进制依赖。
6.3 项目详情-漏洞
支持提供漏洞修复参考信息,包括:补丁信息、修复建议等。提供漏洞信息汉化展示,包括漏洞基础信息、缺陷代码块等。
- 发布时间:该漏洞首次公开披露的日期。
- 更新时间:该漏洞信息的最新更新日期。
- CWE编号:该漏洞对应的通用弱点枚举编号(Common Weakness Enumeration)。
- 漏洞概览:该漏洞的概览信息,包括风险等级、成熟度、利用方式、披露时长、是否可修复等信息。
- 漏洞描述:对该漏洞的详细描述,包括其工作原理和影响。
- 参考修复方案:修复该漏洞的建议和方案。
6.4 项目详情-许可证-许可证列表
支持许可信息汉化展示,包括:名称、类型、风险等级、发布时间等。
- 许可证名称:被检测许可证的名称。
- 类型:该许可证的类型,通常分为著佐权型和宽松型。
- 风险等级:包括高风险、中风险、低风险、Not-standard
- 发布时间:该许可证首次发布的日期。
6.5 项目详情-许可证-兼容分析
支持对两个许可证的兼容情况进行分析,包括其中的条款冲突等风险。
- 许可证1:存在冲突的一组许可证中的一个许可证。
- 许可证2:存在冲突的一组许可证中的另一个许可证。
- 冲突情况:两个许可证之间的兼容性冲突情况,通常分为条件兼容和不兼容。
- 兼容解释:对许可证兼容性的详细解释,说明为什么存在冲突。
- 修复建议:解决许可证兼容性问题的建议和方案。
6.6 项目详情-许可证-版权篡改
支持展示检测出的全部版权信息,包括版权所有者、声明方式、范围等。
6.7 项目详情-报告
支持对组件清单、许可证清单、综合检测报告导出功能,并支持对组件风险等级、组件引用类型、许可证风险等级筛选导出报告。
- 组件清单导出信息为检测项目中所有依赖组件,包括直接依赖、间接依赖、二进制依赖组件,在清单导出过程中可根据组件引入方式进行组件清单导出筛选。
- 许可证清单导出信息为检测项目中所有开源许可证信息,风险严重等级包括高风险、中风险、低风险、Not-standard,可根据风险严重等级筛选导出对应等级许可证清单。
- 综合检测报告导出信息为检测项目的综合性概览报告,包括项目开源率、开源引用数量、漏洞数量等信息,从而帮助用户快速了解项目检测结果。
7. 项目详情-解析记录
支持对检测结果差异信息的展示(和上一次检测结果作对比)。展示信息包括组件、漏洞、许可证。
8. 项目详情-解析配置
支持修改此检测任务的检测配置。