惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

P
Palo Alto Networks Blog
P
Proofpoint News Feed
GbyAI
GbyAI
Microsoft Azure Blog
Microsoft Azure Blog
B
Blog
Google DeepMind News
Google DeepMind News
N
Netflix TechBlog - Medium
Recorded Future
Recorded Future
M
MIT News - Artificial intelligence
罗磊的独立博客
J
Java Code Geeks
月光博客
月光博客
F
Full Disclosure
博客园 - 聂微东
人人都是产品经理
人人都是产品经理
U
Unit 42
WordPress大学
WordPress大学
A
About on SuperTechFans
C
Cyber Attacks, Cyber Crime and Cyber Security
SecWiki News
SecWiki News
Security Latest
Security Latest
C
Check Point Blog
C
CERT Recently Published Vulnerability Notes
小众软件
小众软件
I
InfoQ
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
B
Blog RSS Feed
V
Visual Studio Blog
博客园_首页
NISL@THU
NISL@THU
I
Intezer
Spread Privacy
Spread Privacy
AWS News Blog
AWS News Blog
The Register - Security
The Register - Security
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Latest news
Latest news
Project Zero
Project Zero
博客园 - 叶小钗
C
Cybersecurity and Infrastructure Security Agency CISA
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
P
Privacy International News Feed
博客园 - 【当耐特】
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
T
Threat Research - Cisco Blogs
Simon Willison's Weblog
Simon Willison's Weblog
T
Tor Project blog
V
Vulnerabilities – Threatpost
博客园 - 司徒正美
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
雷峰网
雷峰网

博客园 - Trinitytec

为何应立即实施 SBOM,以满足《网络弹性法案》(CRA)的合规要求 什么是CWE?概述CWE排名前25项 为什么Rust嵌入式开发仍然需要强大的静态分析 面向产品安全的威胁建模与Secure SDLC实践 让Google Test满足功能安全要求:VectorCAST/QA构建可量化的测试覆盖率分析体系 如何利用FOSSID 管控AI生成代码合规性? CRA生效在即,ONEKEY携手创提将网络安全合规压力化为市场红利 借助 Rust + Perforce 静态分析工具QAC和Klocwork降低关键风险 eVTOL核心机载软件系统满足DO-178C适航合规的工程实践 云端自动化测试--通过基于服务器的自动化测试实现SDV创新 开发人员需要了解的关于MISRA C:2025®的信息 AI辅助代码修复优化左移开发 在AWS上部署CANoe--打造企业级ECU云端流水线 AI生成代码系列:在不干扰开发者体验的情况下集成开源代码片段检测 CVE资金中断:安全团队如何做好准备? AI生成代码系列:开源代码片段检测的有效方法 将Perforce QAC与CI/CD流水线集成实现代码“质量门控”管理 CVE是什么?常见漏洞披露概述 如何生成完整的软件物料清单(SBOM)? 如何选择一个好的软件成分分析工具? Perforce公司发布《2025汽车软件开发报告》 重新审视中国的GB标准(44495 – 44497) 硬件逆向工程101: 电路板基础知识 HydraLink—面向工程师、研究人员和爱好者的易用型汽车以太网接口 车载网络:现代汽车的数字心跳 最具影响力的汽车黑客攻击事件 网络安全全速前进:McLaren迈凯伦汽车如何应用Cybellum驱动卓越的产品安全? 浅谈TARA在汽车网络安全中的关键角色
FOSSID如何快速且准确找到项目中引用的第三方代码
Trinitytec · 2026-06-15 · via 博客园 - Trinitytec

转载自FossID

FossID的代码片段机制本质上是以指纹比对为核心的局部代码匹配引擎,可以在你的专有程序代码里找出被复制、改写或AI生成的开源片段,并关联其来源组件、许可证与CVE漏洞。

整体架构概念

FOSSID的SCA工具不同于仅依赖显示或软件包管理器的传统方法,而是通过对整个代码库进行内容层级的扫描,并结合程序代码指纹比对技术,分析包含完整文档以及任意颗粒度的代码片段。

其核心是一个持续维护的大规模开源知识库(Knowledge Base, 简称KB)。FOSSID的开源软件(OSS)知识库由专门的研究团队维护和管理,涵盖来自数十个公共来源和用户贡献网站的超过 3 Petabytes 的软件组件。整体规模包含超过2亿个开源组件,其代码均已预先进行标准化处理、指纹化与索引,以支持高效率且高精确度的比对分析。

该知识库的来源广泛,包含主流开源程序代码托管平台与套件生态系,例如 GitHub、Maven、Google Source、GNU 项目、Linux Kernel、PyPI 等,并涵盖多种语言与开发生态中的代码锻造。

此外,FOSSID也会纳入来自使用者贡献平台(如 Stack Overflow)的代码段。由于实际开发中大量被复用的代码片段来源于此类Q&A平台,这些片段同样经过指纹化处理并整合进知识库,以提升对“非套件来源”程序代码(例如 copy-paste 范例)的检测能力与覆盖率,进一步降低片段盲区。

代码片段检测的匹配方式

FossID 对你扫描的程序代码切分成较小的代码区块,为这些区块建立数字指纹,然后跟知识库中的指纹做比对。

几个关键特性:

● 最小颗粒度:可以精确到只要6行代码就能做片段检测,因此即便只有一小段函数被拷贝也有机会被抓到。

● 非单纯字符串比对:它会做语法/结构层级的标准化与编码(例如忽略空白、缩排、重新命名变量、程序代码重新排版等),以提升对格式变形与简单重构的弹性。

● 片段匹配:不要求整个档案一致,可以在单一档案中找出多个来源不同的片段,并关联到多个开源项目。

对程序代码修改的弹性

代码片段引擎可以监测

● 完全拷贝的片段(verbatim copy)。

● 只改过格式/缩排/命名但逻辑一致的片段。

● 有部分重构、插入/删减少量程序代码的片段,只要结构与核心片段仍足以形成稳定指纹。

这种弹性主要来自于:

● 先对程序代码做词法和句法标准化,减少跟格式、命名相关的差异。

● 匹配时不是要求整段完全一致,而是找足够多的连续或相近标记/区块指纹命中,并做评分判断是否达到片段门坎。

灵敏度(Sensitivity)与误报控制

FossID 提供可调整的灵敏度设定,让你在抓取更多潜在片段与减少误报之间取得平衡。

事实上可以通过设定:

● 最小片段长度(如 标记/行数门坎)。

● 匹配相似度分数阈值(例如要求更高的指纹重迭率)。

● 忽略特定类型的常见样板、模板、生成的代码。

官方在 CI/CD 与日常开发环境下建议:

● 开发阶段可以用较强势的的设定,以便早期发现可能复制粘贴或AI产生片段。

● 正式合规报告则可收紧参数,搭配人工优先级排序以降低不必要误报。

与漏洞检测(VSF)的关联

FossID的漏洞检测是建立在同一个片段匹配引擎上,只是匹配目标改成已知存在 CVE 的具体代码片段。

差异在于:

● 传统 SCA:看组件/版本或显示推断某个套件可能含有CVE。

● VSF:直接在你的代码库找出那几行真实存在的有漏洞的片段,无论是原封不动还是派生/改写后留下的线索。

对做 EU CRA / 供应链风险评估的人而言,VSF的价值在于:

● 能在没有完整SBOM或只有二手来源信息时,精确指出哪几行代码、在什么档案需要修补。

● 避免基于版本推断带来的误报(例如套件版本已打补丁但识别标志判断仍标示有漏洞)。

工作流与整合方式

FossID 的代码片段检测已被整合进SCA主产品与CI/CD工具包里,可在流水线中自动触发扫描与管控。

常见用法:

● Dev/CI:push或PR时触发扫描,对新加入的代码做片段检查,特别适合管控AI生成的代码与复制粘贴的风险。

● 门控:若监测到高风险授权(如copyleft)或已知 CVE片段,阻挡合并/构建,并提示修补动作。

● 合规/审核:对发布版本或 M&A 审核范围做全面扫描,输出报告与SBOM,呈现所有片段来源与授权义务。

欢迎联系我们了解更多或申请免费试用