一、通过主动扫描、流量监控、反向代理等多种采集方式，根据资产指纹库，自动获取企业内部（满足合规要求））指定IP资产内包含的开源软件及版本信息，如1）Wordpress、discuss、thinkphp、禅道类开源应用；2）Weblogic、tomcat、redis等网站框架；3）Fastjson、Shrio、log4j、jQuery等开源组件；4）网络端口等常规信息。
二、允许用户自定义资产指纹规则。采取开放式运维思路，用户可分享资产指纹规则，管理中心端负责审核并纳入公共指纹库。
三、客户端采取轻量级应用模式，可下载通用指纹库内网单机探测和采集。也可以联网式从中心端实时获取指纹库信息采集。
四、允许用户自定义信息过滤规则，降低扫描结果误报。通过对开源软件的各种属性信息、组件的标签化管理，支持基于开源软件各个维度的统计分析。
五、系统预置常见、热门开源软件漏洞POC，根据资产组件特征判断漏洞影响范围。提升漏洞扫描效率，降低漏洞扫描引起的业务风险。

附件为业内做的非常优秀的案例，但我想做的只专注于开源软件范畴。