墨菲SCA扫描

一.插件概述

1.插件名称

墨菲SCA扫描

2.核心价值

借助软件成分分析（SCA）技术，识别项目依赖的开源组件及相关安全风险（如漏洞、许可证合规性等 ），集成质量红线服务，多场景覆盖，降低因开源组件漏洞引发的安全隐患。

二.核心使用场景

该插件聚焦  软件研发过程中对项目依赖的开源组件进行安全检测与管理，典型场景包括：

• 开源组件漏洞/合规性检测
  例如：在项目构建、迭代阶段，扫描代码依赖的开源库识别包含已知漏洞的组件，提前预警并推动修复，避免漏洞随代码上线；针对项目中使用的开源组件所遵循的许可证，检查是否与企业内部合规要求冲突，保障项目开源组件使用合规。

三.详细使用手册

1.前提条件

• 已在 DevOps平台安装 “墨菲SCA扫描” 插件；

2.操作流程

Step1：在流水线中添加【墨菲SCA扫描】插件，信息如下：

• 标准扫描：全面识别各类型检测对象的混合扫描

• 二进制扫描： 仅针对二进制文件的特定扫描；适用于已编译打包的二进制产物（如 JAR 包、可执行程序等 ），检测其中包含的开源组件及安全风险 。

• 容器镜像扫描： 仅针对容器镜像扫描的特定扫描；针对 Docker 等容器镜像，解析镜像层中包含的开源组件，排查容器化部署场景下的组件安全隐患 。