軟件成分分析SCA關(guān)鍵技術(shù)解析
責(zé)編:gltian |2023-12-22 14:32:03數(shù)字時(shí)代的軟件開發(fā)普遍遵循敏捷實(shí)踐,發(fā)布和部署周期都很短,開發(fā)團(tuán)隊(duì)非常依賴開源來加速創(chuàng)新迭代速度。因此,對(duì)團(tuán)隊(duì)項(xiàng)目中包含的每個(gè)開源組件進(jìn)行跟蹤非常重要,可以避免法律風(fēng)險(xiǎn),保持強(qiáng)大的安全態(tài)勢(shì)。
在DevSecOps環(huán)境中,SCA可以明確開源組件的可見性,幫助企業(yè)精準(zhǔn)把控開源組件風(fēng)險(xiǎn),避免軟件帶病上線。近年來,SCA逐漸成為企業(yè)軟件治理的“必備神器”,強(qiáng)大能力的背后離不開關(guān)鍵技術(shù)的支撐,開源網(wǎng)安在為上百家客戶服務(wù)的實(shí)踐中認(rèn)為,軟件成分分析技術(shù)、組件多鏈路依賴分析技術(shù)、二進(jìn)制分析、漏洞級(jí)代碼溯源分析、函數(shù)級(jí)漏洞可達(dá)性定位檢測(cè)等幾大技術(shù)是決定SCA檢測(cè)能力的關(guān)鍵,本期我們將對(duì)這些關(guān)鍵技術(shù)進(jìn)行深入解析。
基于包管理器的SCA分析技術(shù)
通過對(duì)目標(biāo)檢測(cè)對(duì)象的配置文件及應(yīng)用包中存在的二進(jìn)制引入包進(jìn)行掃描,獲取其相關(guān)直接及間接引入的組件信息,并與知識(shí)庫內(nèi)容的匹配標(biāo)識(shí),獲取相關(guān)的組件完整信息。可實(shí)現(xiàn)對(duì)已修改組件、組件間依賴關(guān)系識(shí)別、自研組件設(shè)定等組件行為。
基于源碼溯源的SCA分析技術(shù)
源碼溯源分析技術(shù)(或“同源分析”)通過收錄開源源代碼,并將相關(guān)代碼進(jìn)行索引處理,讓源文件和目標(biāo)文件合并后,既能檢測(cè)自身代碼是否有冗余重復(fù)代碼,又能檢測(cè)源代碼和目標(biāo)代碼之間的代碼重復(fù)情況。此技術(shù)不僅支持文件與文件之間的比較,而且擁有完善的未經(jīng)授權(quán)的開源代碼庫,可以將應(yīng)用代碼和開源代碼庫的信息進(jìn)行比較,覆蓋率和精確度更高。
多鏈路組件依賴分析技術(shù)
多鏈路組件依賴分析技術(shù),主要基于包管理器的模擬構(gòu)建實(shí)現(xiàn)組件依賴的過程跟蹤和定位,將依賴樹的數(shù)據(jù)信息與收集的開源數(shù)據(jù)進(jìn)行數(shù)據(jù)核驗(yàn),補(bǔ)充依賴樹數(shù)據(jù)的其他信息,獲取最終的依賴數(shù)據(jù),幫助開發(fā)人員更好地理解和管理代碼的復(fù)雜性,提高軟件的質(zhì)量和可靠性。
制品二進(jìn)制成分分析技術(shù)
對(duì)被檢測(cè)的二進(jìn)制制品文件進(jìn)行遞歸提取內(nèi)容,通過文件格式識(shí)別引擎識(shí)別格式,對(duì)不同格式的文件分別調(diào)用特征提取引擎,提取二進(jìn)制制品文件的特征信息。使用特征匹配算法,通過圖相似、函數(shù)相似、語義相似等算法與開源組件特征庫進(jìn)行匹配運(yùn)算,確定引入的開源組件名稱和版本,結(jié)合開源知識(shí)庫的數(shù)據(jù)支持,獲取開源組件的許可和漏洞風(fēng)險(xiǎn)信息,提取二進(jìn)制特征的同時(shí)找出制品中的敏感信息,生成敏感信息清單,有效發(fā)現(xiàn)軟件中潛藏的薄弱點(diǎn)。
安全漏洞可達(dá)性分析技術(shù)
采用基于AST(抽象語法樹)及調(diào)用分析方法,對(duì)用戶上傳的源代碼進(jìn)行AST信息提取,獲取源代碼的函數(shù)調(diào)用鏈信息,同時(shí)從主流開源倉庫中下載開源項(xiàng)目各版本的源代碼,提取源代碼中的方法,將提取的函數(shù)信息存入開源組件知識(shí)庫中,并與開源組件建立關(guān)聯(lián)關(guān)系,形成開源函數(shù)庫,基于對(duì)調(diào)用鏈、調(diào)用位置進(jìn)行分析,為研發(fā)和安全部門提供更準(zhǔn)確的修復(fù)信息。
隨著數(shù)字化的深入,更多未知風(fēng)險(xiǎn)也將推動(dòng)SCA的應(yīng)用范圍變廣、檢測(cè)能力增強(qiáng)以及更加智能化。因此,企業(yè)在選擇SCA工具時(shí),需要通過關(guān)鍵技術(shù)了解其檢測(cè)能力與發(fā)展?jié)摿Γヅ渥陨戆踩枨螅⒆罴验_源治理體系,保障數(shù)字化建設(shè)的安全發(fā)展。
來源:安全牛
- 360助力“奧運(yùn)冠軍之城”七臺(tái)河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書