# 常见问题
# 使用问题
# 使用OpenSCA需要配置环境变量吗?
不需要。解压后直接在命令行或终端工具中执行对应命令即可开始检测。
# OpenSCA目前支持哪些漏洞库呢?
OpenSCA支持自主配置本地漏洞库,需要按照漏洞库文件格式配置。
同时OpenSCA提供云漏洞库服务,兼容NVD、CNVD、CNNVD等官方漏洞库。
# 执行检测命令后如何确认检测已经开始?
可以在检测命令中加上-progress参数,这样开始检测后就会显示进度条。
未加progress的情况下,执行命令后光标闪烁即表示检测已经开始,检测完毕后会自动另起进入opensca-cli.exe所在目录。
# Linux系统解压后执行opensca-cli命令提示command not found怎么办?
出现这种情况的原因是opensca没有安装在usr/bin目录下,有以下两种解决办法:
- 执行opensca-cli命令时在前面加上./,即在当前目录执行
- 找到opensca-cli.exe所在路径,用ln -s {opensca-cli.exe所在路径} /usr/bin即可
# 如何输出HTML及SPDX标准格式的SBOM清单?
执行命令时加上-out {结果文件名}.html或-out {结果文件名}.spdx即可。
# OpenSCA-cli日志文件中有[warning]字段是怎么回事?
网络连接问题,不用在意,工具会自动持续尝试连接。
# OpenSCA支持扫描同一个局域网内其他终端上的项目吗?
支持。将本地扫描的路径改为局域网内共享文件夹路径一样可以扫描,只要该共享文件夹可以访问。
# token是什么?
- token,即认证令牌(Auth Token),是平台的临时密钥,相当于平台的账号和密码;
- 认证令牌主要用来作为本地检测引擎工具(OpenSCA-cli)访问云平台知识库的认证;
- 当您访问云平台提供的服务时,我们需要通过该认证令牌来验证并确保您的访问是安全且合法的。
# 如何获取、使用token(认证令牌)?
- 登录 (opens new window)OpenSCA云平台(若未在平台登录过,则需要先注册 (opens new window)云平台账号,或使用第三方平台登录;
- 在“认证令牌”内指定到期时间后点击“生成令牌”;
- 当本地检测工具(OpenSCA-cli)访问云平台提供的服务时,需要填写token进行认证。
# 数据保护
# OpenSCA本地工具会上传哪些信息到云平台?
若您自主配置并使用本地漏洞库,OpenSCA不会与云平台有任何通信。
若您使用云漏洞库,OpenSCA本地工具仅上传本地解析的组件信息,不会上传代码信息。