Merge branch 'cc-dev' of https://github.com/SuperChen-CC/OpenSCA-cli into cc-dev

Author: cyberchen1995

.github/workflows/run_opensca_scan.yml

@@ -0,0 +1,32 @@
+name: OpenSCA Scan
+
+on:
+  push:
+    branches:
+      - master
+  pull_request:
+    branches:
+      - master
+  workflow_dispatch:
+
+
+jobs:
+  opensca_scan:
+    name: OpenSCA Scan
+    runs-on: ubuntu-latest
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          sparse-checkout: |
+            cmd/
+            opensca/
+            go.mod
+            main.go
+      - name: Run OpenSCA Scan
+        uses: XmirrorSecurity/opensca-scan-action@v1
+        with:
+          token: ${{ secrets.OPENSCA_TOKEN }}
+          proj: ${{ secrets.OPENSCA_PROJECT_ID }}
+          need-artifact: true
+          out: "outputs/results.json,outputs/result.html"

README.md

@@ -61,7 +61,7 @@
 
 ## 下载安装
 
-1. 从 [github](https://github.com/XmirrorSecurity/OpenSCA-cli/releases) 或 [gitee](https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases)  下载对应系统架构的可执行文件压缩包
+1. 从 [github](https://github.com/XmirrorSecurity/OpenSCA-cli/releases) 或 [gitee](https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases) 或 [gitcode](https://gitcode.com/XmirrorSecurity/OpenSCA-cli/releases) 下载对应系统架构的可执行文件压缩包
 
 2. 或者下载源码编译(需要 `go 1.18` 及以上版本)
 
@@ -70,10 +70,14 @@
    git clone https://github.com/XmirrorSecurity/OpenSCA-cli.git opensca && cd opensca && go build
    // gitee linux/mac
    git clone https://gitee.com/XmirrorSecurity/OpenSCA-cli.git opensca && cd opensca && go build
+   // gitcode linux/mac
+   git clone https://gitcode.com/XmirrorSecurity/OpenSCA-cli.git opensca && cd opensca && go build
    // github windows
    git clone https://github.com/XmirrorSecurity/OpenSCA-cli.git opensca ; cd opensca ; go build
    // gitee windows
    git clone https://gitee.com/XmirrorSecurity/OpenSCA-cli.git opensca ; cd opensca ; go build
+   // gitcode windows
+    git clone https://gitcode.com/XmirrorSecurity/OpenSCA-cli.git opensca ; cd opensca ; go build
    ```
 
    默认生成当前系统架构的程序，如需生成其他系统架构可配置环境变量后编译
@@ -191,25 +195,25 @@ docker run -ti --rm -v ${PWD}:/src opensca/opensca-cli -token ${put_your_token_h
 
 ### 漏洞库字段说明
 
-| 字段                | 描述                              | 是否必填 |
-| :------------------ | :-------------------------------- | :------- |
-| `vendor`            | 组件厂商                          | 否       |
-| `product`           | 组件名                            | 是       |
-| `version`           | 漏洞影响版本                      | 是       |
-| `language`          | 组件语言                          | 是       |
-| `name`              | 漏洞名                            | 否       |
-| `id`                | 自定义编号                        | 是       |
-| `cve_id`            | cve 编号                          | 否       |
-| `cnnvd_id`          | cnnvd 编号                        | 否       |
-| `cnvd_id`           | cnvd 编号                         | 否       |
-| `cwe_id`            | cwe 编号                          | 否       |
-| `description`       | 漏洞描述                          | 否       |
-| `description_en`    | 漏洞英文描述                      | 否       |
-| `suggestion`        | 漏洞修复建议                      | 否       |
-| `attack_type`       | 攻击方式                          | 否       |
-| `release_date`      | 漏洞发布日期                      | 否       |
-| `security_level_id` | 漏洞风险评级(1~4 风险程度递减)    | 否       |
-| `exploit_level_id`  | 漏洞利用评级(0:不可利用,1:可利用) | 否       |
+| 字段                | 描述                                     | 是否必填 |
+| :------------------ | :--------------------------------------- | :------- |
+| `vendor`            | 组件厂商                                 | 否       |
+| `product`           | 组件名                                   | 是       |
+| `version`           | 漏洞影响版本(必须为范围，不能填单个版本) | 是       |
+| `language`          | 组件语言                                 | 是       |
+| `name`              | 漏洞名                                   | 否       |
+| `id`                | 自定义编号                               | 是       |
+| `cve_id`            | cve 编号                                 | 否       |
+| `cnnvd_id`          | cnnvd 编号                               | 否       |
+| `cnvd_id`           | cnvd 编号                                | 否       |
+| `cwe_id`            | cwe 编号                                 | 否       |
+| `description`       | 漏洞描述                                 | 否       |
+| `description_en`    | 漏洞英文描述                             | 否       |
+| `suggestion`        | 漏洞修复建议                             | 否       |
+| `attack_type`       | 攻击方式                                 | 否       |
+| `release_date`      | 漏洞发布日期                             | 否       |
+| `security_level_id` | 漏洞风险评级(1~4 风险程度递减)           | 否       |
+| `exploit_level_id`  | 漏洞利用评级(0:不可利用,1:可利用)        | 否       |
 
 本地漏洞库中`language`字段设定值包含`java、javascript、golang、rust、php、ruby、python`
 

cmd/format/dpsbom.go

@@ -0,0 +1,117 @@
+package format
+
+import (
+	"archive/zip"
+	"crypto/md5"
+	"crypto/sha1"
+	"crypto/sha256"
+	"encoding/hex"
+	"encoding/json"
+	"errors"
+	"fmt"
+	"hash"
+	"io"
+	"path/filepath"
+	"strings"
+
+	"github.com/xmirrorsecurity/opensca-cli/v3/cmd/detail"
+	"github.com/xmirrorsecurity/opensca-cli/v3/opensca/model"
+)
+
+func DpSbomZip(report Report, out string) {
+	zipFile := out
+	if !strings.HasSuffix(out, ".zip") {
+		zipFile = out + ".zip"
+	}
+	jsonName := filepath.Base(out)
+	if !strings.HasSuffix(jsonName, ".json") {
+		jsonName = jsonName + ".json"
+	}
+	outWrite(zipFile, func(w io.Writer) error {
+		doc := pdSbomDoc(report)
+		if doc.Hashes.HashFile == "" {
+			return errors.New("hash file is required")
+		}
+
+		var h hash.Hash
+		switch strings.ToLower(doc.Hashes.Algorithm) {
+		case "sha-256":
+			h = sha256.New()
+		case "sha-1":
+			h = sha1.New()
+		case "md5":
+			h = md5.New()
+		case "":
+			return errors.New("hash algorithm is required")
+		default:
+			return fmt.Errorf("unsupported hash algorithm: %s", doc.Hashes.Algorithm)
+		}
+
+		tojson := func(w io.Writer) error {
+			encoder := json.NewEncoder(w)
+			encoder.SetIndent("", "  ")
+			return encoder.Encode(doc)
+		}
+
+		zipfile := zip.NewWriter(w)
+		defer zipfile.Close()
+
+		sbomfile, err := zipfile.Create(jsonName)
+		if err != nil {
+			return err
+		}
+		err = tojson(sbomfile)
+		if err != nil {
+			return err
+		}
+
+		hashfile, err := zipfile.Create(doc.Hashes.HashFile)
+		if err != nil {
+			return err
+		}
+		err = tojson(h)
+		if err != nil {
+			return err
+		}
+		hashstr := hex.EncodeToString(h.Sum(nil)[:])
+		hashfile.Write([]byte(hashstr))
+
+		return nil
+	})
+}
+
+func pdSbomDoc(report Report) *model.DpSbomDocument {
+
+	doc := model.NewDpSbomDocument(report.TaskInfo.AppName, "opensca-cli")
+
+	report.DepDetailGraph.ForEach(func(n *detail.DepDetailGraph) bool {
+
+		if n.Name == "" {
+			return true
+		}
+
+		lics := []string{}
+		for _, lic := range n.Licenses {
+			lics = append(lics, lic.ShortName)
+		}
+		doc.AppendComponents(func(dsp *model.DpSbomPackage) {
+			dsp.Identifier.Purl = n.Purl()
+			dsp.Name = n.Name
+			dsp.Version = n.Version
+			dsp.License = lics
+		})
+
+		children := []string{}
+		for _, c := range n.Children {
+			if c.Name == "" {
+				continue
+			}
+			children = append(children, c.Purl())
+		}
+		doc.AppendDependencies(n.Purl(), children)
+
+		return true
+	})
+
+	return doc
+}

cmd/format/save.go

@@ -39,6 +39,12 @@ func Save(report Report, output string) {
 		switch filepath.Ext(out) {
 		case ".html":
 			Html(genReport(report), out)
+		case ".zip":
+			if strings.HasSuffix(out, ".dpsbom.zip") {
+				DpSbomZip(report, out)
+			} else {
+				Json(genReport(report), out)
+			}
 		case ".json":
 			if strings.HasSuffix(out, ".spdx.json") {
 				SpdxJson(report, out)
@@ -48,9 +54,13 @@ func Save(report Report, output string) {
 				CycloneDXJson(report, out)
 			} else if strings.HasSuffix(out, ".swid.json") {
 				SwidJson(report, out)
+			} else if strings.HasSuffix(out, ".dpsbom.json") {
+				DpSbomZip(report, out)
 			} else {
 				Json(genReport(report), out)
 			}
+		case ".dpsbom":
+			DpSbomZip(report, out)
 		case ".dsdx":
 			Dsdx(report, out)
 		case ".spdx":

docs/Integrations/IDE_Plugins-zh_CN.md

@@ -0,0 +1,110 @@
+[返回目录](/docs/README-zh-CN.md) / [English](./IDE_Plugins.md)
+
+- [Visual Studio Code](#visual-studio-code)
+  - [安装插件](#安装插件)
+  - [使用插件](#使用插件)
+    - [插件功能](#插件功能)
+    - [插件执行流程](#插件执行流程)
+    - [运行扫描](#运行扫描)
+- [Jetbrains IDEs](#jetbrains-ides)
+  - [安装插件](#安装插件-1)
+  - [使用插件](#使用插件-1)
+    - [插件功能](#插件功能-1)
+    - [插件执行流程](#插件执行流程-1)
+    - [运行扫描](#运行扫描-1)
+
+
+# Visual Studio Code
+
+## 安装插件
+
+- **安装方法 一**：在 [VS Marketplace](https://marketplace.visualstudio.com/items?itemName=xmirror.opensca) 中安装（推荐）
+
+    在VS Code中左边栏打开扩展->扩展的搜索框中输入“OpenSCA Xcheck”，点击“Install”
+
+    <img src="https://opensca.xmirror.cn/docs/img/vscode_01.jpg" alt="xcheck_market" />
+
+- **安装方法二**：在[OpenSCA 官网](https://opensca.xmirror.cn/pages/plug-in)下载插件安装
+
+  - 从OpenSCA平台下载 “OpenSCA-Xcheck.vsix”；
+  - 打开VS Code，依次操作：左边栏打开扩展->扩展顶栏的更多操作->“从VSIX安装”->找到并安装“OpenSCA-Xcheck.vsix”；
+
+- **安装方法三**：[下载源码](https://github.com/XmirrorSecurity/)自行编译安装
+
+  - 环境要求：
+
+    - node v18及以上版本
+    - 系统支持MacOS、Windows、Linux
+
+  - 从[gitee](https://gitee.com/XmirrorSecurity/OpenSCA-VSCode-plugin)或[github](https://github.com/XmirrorSecurity/OpenSCA-VSCode-plugin/)下载源码
+
+  * 全局安装vsce
+
+    ```
+    npm install --global @vscode/vsce
+    ```
+
+  * 执行打包命令
+
+    ```
+    vsce package
+    ```
+
+## 使用插件
+
+### 插件功能
+
+- 开始检测：点击操作栏的“Run”，开始检测当前项目内的组件漏洞风险情况；
+- 停止检测：点击操作栏的“Stop”，停止检测当前项目内的组件漏洞风险情况；
+- 清除检测结果：点击操作栏的“Clean”，清除当前项目的检测结果；
+- 连接配置：点击操作栏的“Test”按钮，配置平台Url及Token信息，点击“测试连接”按钮可测试连接配置是否正确，连接成功后就可以开始检测啦；
+- 设置：点击操作栏的“Setting”，查看OpenSCA Xcheck相关设置信息。
+- 使用说明：点击操作栏的“Instructions”，查看OpenSCA Xcheck相关使用说明。
+- 查看更多：点击操作栏的“See more”，跳转到[opensca.xmirror.cn](https://opensca.xmirror.cn)查看OpenSCA Xcheck 更多相关信息。
+
+<img src="https://opensca.xmirror.cn/docs/img/vscode_02.jpg" alt="xcheck_function" />
+
+### 插件执行流程
+
+<img src="https://opensca.xmirror.cn/docs/assets/img/xcheck_process.7083b869.jpg" alt="xcheck流程图"  />
+
+### 运行扫描
+
+点击OpenSCA Xcheck可打开OpenSCA窗口。首先在配置界面中配置服务器参数（参考：插件功能-设置），然后在OpenSCA窗口中点击“Run”（参考：插件功能-开始检测）
+
+# Jetbrains IDEs
+
+## 安装插件
+
+- **安装方法一**：从 [Jetbrains 插件市场](https://plugins.jetbrains.com/plugin/18246-opensca-xcheck) 中安装（推荐）
+
+    以IntelliJ IDEA为例：在IDE中依次点击“File|Settings|Plugins|Marketplace”，在搜索框中输入“OpenSCA Xcheck”，点击“Install”
+    
+    ![xcheck_market](/resources/xcheck_marketplace.jpg)
+
+- **安装方法二**：在[OpenSCA平台](https://opensca.xmirror.cn/pages/plug-in )下载插件安装
+
+    以IntelliJ IDEA为例：将下载下来的插件安装包拖入适配的IDE中即可
+
+- **安装方法三**：[下载源码](https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin )自行编译安装
+
+    使用IntelliJ IDEA打开下载到本地的源码，需要配置运行环境：`jDK11`，待Gradle导入依赖和插件，在Gradle中执行`intellij`插件的`buildPlugin`任务，构建的安装包存放于当前项目下*build/distributions*目录下，将此目录下的安装包拖入当前IDE中即可
+
+## 使用插件
+
+### 插件功能
+
+- 配置：点击File|Settings|Other Settings|OpenSCA Setting或点击OpenSCA窗口中的`Setting`按钮，在配置界面中配置连接服务器Url和Token
+- 测试连接：在OpenSCA配置界面中，配置服务器Url和Token之后点击`测试连接`按钮可验证Url和Token是否有效
+- 运行：点击OpenSCA窗口中的`Run`按钮，可对当前项目进行代码评估
+- 停止：如果正在对当前项目代码评估，那么`Stop`按钮是可用的，点击Stop按钮可结束当前评估任务
+- 清除：如果OpenSCA窗口中的Xcheck子窗口已有评估结果，点击`Clean`按钮可清除Xcheck子窗口中所有结果
+![xcheck_function](/resources/xcheck_function.jpg)
+
+### 插件执行流程
+
+![xcheck流程图](/resources/xcheck_process.jpg)
+
+### 运行扫描
+
+点击 `View` > `Tool Windows` > `OpenSCA` 可打开OpenSCA窗口。首先在OpenSCA配置界面中配置服务器参数（参考：插件功能-配置），然后在OpenSCA窗口中点击“运行”（参考：插件功能-运行）