[研究]SCA（Software Composition Analysis，軟體成分分析）免費軟體

[研究]SCA（Software Composition Analysis，軟體成分分析）免費軟體

2026-05-08

ChatGPT

第一梯隊（最常被企業採用）

1. OWASP Dependency-Check

• 特點：老牌、非常成熟
• 適合：Java（Maven / Gradle）、.NET、Node.js、Python、Ruby
• 可查：CVE 弱點、第三方元件清單
• 可匯出：HTML、XML、JSON、CSV、JUnit、SARIF
• 優點：完全免費、OWASP 官方專案、很適合稽核、報告用途、CI/CD 整合成熟
• 缺點：誤報（False Positive）較多、UI 較弱（偏 CLI）

2. OWASP Dependency-Track

• 特點：「平台型」SCA（有 Web UI）
• 適合：持續監控、多專案管理、SBOM 管理
• 支援：CycloneDX、SPDX
• 可匯出：元件清單、弱點清單、License 報告、Portfolio 報表
• 優點：非常適合：「管理所有第三方元件清單 + 弱點清單」、Web UI 很強、報表漂亮、API 完整、可做主管報告
• 缺點：需要部署（Docker / Server）、不是直接掃 source code，而是吃 SBOM
• 很多人會搭配：Syft + Dependency-Track
• Reddit 上也有不少人提到它很適合持續監控與 SBOM 管理。

3. Trivy

• 特點：現在最熱門之一，不只 SCA，還支援：Container、IaC、Secret、License、SBOM
• 優點：功能超廣、更新快、很適合 DevSecOps、GitHub Actions 很強
• 缺點：偏 DevOps、純報表管理不如 Dependency-Track
• Trivy 被普遍視為目前最強的開源 SCA 之一。

第二梯隊（進階搭配）

4. Syft

特點：專門產生 SBOM、不直接掃弱點

最佳搭配：

• Syft + Grype
• Syft + Dependency-Track

官方與社群都很常這樣使用。

5. Grype

特點：專注弱點掃描、掃描準確率高、False Positive 較少

最佳搭配：Syft + Grype

6. OSV-Scanner

特點：Google 出品、使用 OSV Database、很適合現代語言、若你重視「匯出所有元件清單 + 弱點報表」

最推薦組合：

• 第一名（管理型）：Syft + OWASP Dependency-Track
• 原因：有 Web UI、報表最完整、最適合主管報告、最適合資安稽核、最適合「全公司管理」
• 第二名（快速型）：Trivy
• 原因：一套搞定、快速導入、最容易上手
• 第三名（傳統穩定型）：OWASP Dependency-Check
• 原因：老牌穩定、很多企業仍在用

*****

簡單結論（直接推薦）

• 如果你要：「像 Mend 那樣管理第三方元件 + 弱點 + 報表」，請選：OWASP Dependency-Track
• 如果你要：「快速免費導入」，請選：Trivy
• 如果你要：「最保守最穩」，請選：OWASP Dependency-Check

(完)