1、定期在项目中检查引用的第三方组件
这是性价比非常高的方式，可以直接解决项目中实际存在的问题。在开发或测试阶段主动对所用到的组件进行定期安全检查，分析出引用的组件名称及版本，梳理出来该项目第三方组件清单，将这些信息在开源或商业的漏洞数据库中进行匹配，发现问题及时整改。目前市面上基本所有的SCA类工具都具备该能力。主流的做法是分析引用的三方组件名字、版本、MD5等，通过匹配漏洞库中组件和漏洞的对应关系确定引用的第三方组件是否有漏洞，这种做法简单有效，能够解决大部分问题，适用于场景广泛。