库博软件成分分析与同源漏洞检测插件 README
介绍
- 这是一个基于
库博软件成分分析及漏洞检测工具后端服务进行开发的库博软件成分分析与同源漏洞检测插件 beta版。库博软件成分分析及漏洞检测工具系统(又名COBOT-SCA)是由北京北大软件工程股份有限公司自主研发的一款用于检测C/C++/Java等100余种语言的源代码成分分析及漏洞检测平台。库博庞大的知识库以及智能代码分析算法,可以精准地分析出被测程序包含的组件信息,第一时间发现潜藏在程序中的安全漏洞,并为用户提出可靠的补救措施。
快速启动
安装部署 库博软件成分分析及漏洞检测工具后端服务 并暴露 ip 、 端口(如果同时部署了 库博软件成分分析及漏洞检测工具前端服务 配置了 nginx 也可以直接使用 nginx 暴露的地址)
在 Visual Studio 市场 中安装或者手动 下载
初次启动插件后右下角会弹出请配置 Token 和 Url 提示点击确定进入配置页面,也可通过通过按 (Ctrl+, 或者在Mac上 Cmd+,) 调出配置,搜索 库博软件成分分析与同源漏洞检测插件 进入插件配置,然后在浏览器中访问 库博软件成分分析及漏洞检测工具前端服务 地址,登录后按顺序依次找到账户管理 > 访问令牌 > 密钥 > 复制按钮(如无密钥则点击生成新密钥 > 复制)复制的token粘贴到vscode配置中的库博软件成分分析及漏洞检测工具密钥,之后填写库博软件成分分析及漏洞检测工具服务端地址即可完成基础配置
配置 Token 和 Url 后可以在 资源管理器 右键任意文件夹选择 cobot: 检测项目即可自动进入上传检测流程,检测完成后则自动跳转到检测结果
当检测完成后可在 活动栏 > 库博软件成分分析与同源漏洞检测工具 > 包含组件 中找到检测结果,当鼠标悬浮在某条组件信息时,可以在悬停提示框中查看组件的详情信息包括:组件名称(点击可以跳转到组件仓库地址)、组件版本、组件漏洞数量及等级、推荐版本及发布时间、最新版本及发布时间等信息 展开组件信息后则会显示匹配到的文件依赖,并通过点击文件定位到对应代码。其中,如果为部分匹配或完全匹配,则会与远端文件进行差异性比较,展示远端文件和本地文件的差异(左为远端文件内容,会存储为一个临时文件;右为项目的本地文件内容,可以直接进行修改等操作) 如果为外部依赖,则直接显示本地文件,自行查看如何引用的对应组件
当检测出的组件存在漏洞时(即组件前icon颜色不为黑色且能在悬停提示中看到漏洞等级数量信息),则可以在选中或悬停在对应组件时,点击右侧出现的 查看组件漏洞按钮(漏洞样式图标)查看漏洞信息,可在悬停提示框中查看漏洞的详情信息包括:漏洞名称(点击可以跳转到对应的漏洞发布页)、漏洞综合评分、漏洞类型、漏洞发布时间、漏洞的CVSS2.0各项评分等
发布日志
0.0.1
- 完成项目的搭建
- 实现了用户token绑定、项目上传、项目检测、项目结果展示定位等功能
- 编写了readme并制定了后续开发的任务计划
0.0.2
- 解决fs.ReadStream操作冲突导致在MacOS 13.4下无法正确上传文件的问题
0.0.3
0.0.4
- 组件描述及悬停提示框增加了文件匹配数量和匹配类型
- 修复了中危组件的图标颜色问题
- 文件不再在描述里显示匹配类型了,匹配类型为组件属性
- 在
组件漏洞(请在检测结果中选择组件以查看漏洞) 视图标题中增加显示了漏洞数
- 匹配到的远端仓库文件链接地址在打开文件弹出的提示框里以按钮形式显示,点击即可跳转远端文件地址
0.0.5
0.0.6
- 启用gitee同步github仓库,现在默认仓库地址修改为gitee了
1.0.0
- 解决和静态插件id冲突的问题,现在可以同时实装两个插件在同一台机器上并获取检测结果了
- 更新了插件的图标以区分静态插件
- 正式发布
1.0.1
1.0.2
- 解决检测时弹窗误触问题,现在点击其他地方弹窗会消失了,同时重做了生命周期控制
后续可能计划
- [ ] 匹配到的文件打开时获取时间过长则无反应,后续增加loading效果(无现成接口能可能需要用特殊方法实现)
- [ ] 差异对比本地临时文件只读
许可证
该插件在GNU GENERAL PUBLIC v3.0许可下发布。
联系方式
尽情享用吧!
| |
