「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐

软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。

1. SCA的发展背景及趋势

随着软件开发的复杂性不断增加,软件项目中使用的第三方组件和开源软件数量也大幅增加。然而,这些第三方组件往往存在潜在的安全漏洞和法律风险,因此对软件成分进行全面分析变得至关重要。SCA技术因此应运而生,成为软件开发生命周期中必不可少的一环。

Synopsys发布2024年开源安全和风险分析报告OSSRA中指出,有96%代码仓库包含开源代码,84%代码库包含至少一个已知开源漏洞,其中74%包含高风险漏洞。关于Synopsys 2024年发布的更详细的开源风险洞察报告可以点此下载(访问密码:6277)。

在这里插入图片描述

当前,越来越多的企业和开发团队开始重视软件成分分析,将其纳入到软件开发过程中,并寻求自动化和智能化的解决方案。SCA技术的趋势包括但不限于:

  • 更加精细化的组件识别和关系分析
  • 持续集成和持续部署(CI/CD)中的集成
  • 与软件漏洞数据库的整合

2. SCA技术原理

SCA技术的核心原理包括对软件源代码或二进制文件进行扫描,识别其中使用的第三方组件、库和框架,分析其版本、许可证、漏洞等信息,并生成报告以供开发人员参考。常见的分析方法包括静态分析、动态分析。

  • 静态分析通过检查软件源代码或二进制文件的组件依赖关系来进行分析,可以在早期发现潜在的问题。
  • 动态分析则是在软件运行时检查其实际行为,以获取更加全面的信息。

根据分析对象划分为两种SCA技术:源码SCA、二进制SCA。接下来具体介绍两种SCA技术的原理和优缺点。

2.1. 源码SCA

源码SCA分析的是软件的源代码,它通常需要访问项目的源代码仓库,对代码中的依赖关系进行分析。主要适用于开源项目、有完整源代码维护的项目,以及需要深入理解代码依赖关系的场景。

由于直接分析源代码,所以它可以更准确地识别出软件中使用的第三方库和它们的版本。具体来说,主要有以下三类分析方法:

  • 基于包管理器配置文件的分析:针对具有备包管理机制的语言,比如Java、Go、Python,可以通过解析开源软件包管理文件(如Java的POM.xml,Go语言的go.mod,Python的requirements.txt)来实现开源软件的关联分析,这种方法可以几乎可以100%准确的分析出引用的开源软件名称及依赖组件名称。
  • 基于文本相似度的分析:亦可称为源码文件级匹配,即根据源代码文件的相似度来判断待分析的源码文件属于什么组件和版本,文件相似度可以基于hash的严格匹配方法,也可以根据文本相似度匹配方法。
  • 基于语义的相似度分析:亦可称为源码片断匹配,即源代码依次通过词法分析、Token提取、语法分析、AST抽象语法树、语义分析过程来提取相应的关键特征,进一步融合机器学习、NLP、控制流图CFG、数据流图DFG等匹配算法进行代码相似度的检测。

源码SCA需要有可访问的源代码,因此对于没有源代码的二进制文件或封闭源代码的软件,这种方法不适用。

2.2. 二进制SCA

二进制SCA分析的是软件的二进制可执行文件或库文件,由于不需要访问源代码,二进制SCA可能无法像源码SCA那样精确地识别依赖关系,因为它依赖于二进制文件中的符号和字符串提取。具体分析过程通常涉及提取二进制文件中的函数名、常量字符串等信息(这些信息受CPU架构、编译选项的影响很少,几乎保持不变),然后与已知组件特征数据库进行比对即可识别二进制的成分。另,结合二进制代码的调用图CFG、数据流图DFG等信息可进行更加精准的检测,但由于这些分析涉及到二进制文件反汇编,分析时间非常长(50M大小的文件一般要2H左右),效率低,因此不适合对大量二进制文件进行扫描。

二进制SCA不需要源代码,适用于任何二进制文件,包括商业软件和封闭源代码的软件。

2.3. 源码SCA与二进制SCA的区别

不管是源代码文件的SCA检测还是二进制文件的SCA检测,他们是一种互补的关系,各有各的优缺点,比如二进制文件的SCA检测能发现构建过程中工具链引入的安全问题,而源代码的SCA则不能,SolarWinds事件就很好的说明了这一点。其他具体对比项可参见下表:

对比项源代码SCA二进制SCA
分析对象源代码二进制文件
分析阶段开发阶段测试阶段
适用场景适合需要精确识别依赖关系和进行深入代码审计的场景适用于需要分析二进制文件,或者源代码不可用的场景
准确率中,检测准确率依赖于二进制中调用了多少开源软件的功能
检测绕过存在,源码在构建环境中引入或链接静态库引入的开源软件会绕过源代码SCA检测不存在
依赖组件检测能力弱,尤其是没有包管理机制的语言,很难检测到依赖组件强,二进制中包含所有引入的开源软件功能特征信息
人工确认分析难度低,源代码人工对比分析容易高,二进制人工很大对比分析,需要借助反汇编等多种工具,确认门槛高

3. 当前主流SCA工具

目前市面上有许多优秀的SCA工具,其中一些主流工具包括:

  • Black Duck: Black Duck 是一款知名的软件成分分析工具,当前已经被Synopsys(新思科技)收购,Black Duck一般被同行称为"黑鸭子"(直译),提供全面的开源软件扫描和漏洞检测服务,可同时支持源码及二进制SCA,是SCA界的Top1工具。它可以帮助用户识别软件项目中使用的第三方组件、版本信息,并检测这些组件是否存在已知的漏洞。Black Duck 还提供了丰富的报告和分析功能,帮助用户管理和降低软件安全风险。
  • Snyk: Snyk 是一款专注于开源组件安全的软件成分分析工具。它可以帮助用户发现项目中的漏洞、安全威胁和依赖关系问题,并提供实时的漏洞修复建议。Snyk 还提供了与开发工具集成的功能,方便开发团队在开发过程中及时解决安全问题。
  • WhiteSource: 已经于2023年改名为Mend,它是一款综合的软件成分分析工具,旨在帮助用户管理开源组件的合规性和安全性。它可以自动识别项目中使用的开源组件、版本信息,并提供实时的漏洞警报和修复建议。WhiteSource 还提供了与 CI/CD 工具集成的功能,支持持续集成和持续交付流程。
  • Nexus Lifecycle: Nexus Lifecycle 是 Sonatype 公司推出的一款软件成分分析工具,主要用于管理开源组件的安全和合规性。它可以帮助用户发现项目中的漏洞、许可证冲突等问题,并提供自动化的修复建议。Nexus Lifecycle 还提供了与开发工具集成的功能,支持开发团队在早期发现和解决安全问题。
  • Dependency-Check: Dependency-Check 是一款OWASP维护的开源软件成分分析工具,用于检测项目中使用的第三方组件是否存在已知的漏洞。它支持多种项目构建工具和编程语言,可以快速扫描项目的依赖关系,并生成漏洞报告。Dependency-Check 提供了易于集成和使用的功能,适合中小型团队和个人开发者使用。
  • 七彩棱镜FossEye:FossEye基于“左移安全”、DevSecOps及实时监控的安全理念,在软件生命周期中对开源软件和依赖组件进行持续、自动化的识别、安全分析、持续集成管理。FossEye的目标是能够适应敏捷开发,帮助企业解决因对开源软件维护、管理不善而产生的问题。

这些工具通过自动化的方式帮助开发人员进行软件成分分析,提高了软件开发过程中对第三方组件的管理效率和安全性。

4. 参考

[1] Synopsys发布2024年开源安全和风险分析报告OSSRA
[1] 源代码与二进制文件SCA检测原理
[2] 二进制SCA检测工具—技术短板及应对措施
[3] 基于源码的二进制SCA特征生成技术
[4] 漫谈软件成分分析(SCA)安全测试技术


在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/636384.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安装mysql的流程

安装mysql的步骤 安装流程 [rootlocalhost z]# cd /mnt/share/share[rootlocalhost share]# ll[rootlocalhost share]# cp mysql157-community-release-el7-10.noarch.rmp /usr/localcp: cannot stat ‘mysql157-community-release-el7-10.noarch.rmp’: No such file or direc…

小红书电商运营实战课,从0打造全程实操(65节视频课)

课程内容: 1.小红书的电商介绍 .mp4 2.小红书的开店流程,mp4 3.小红书店铺基础设置介绍 ,mp4 4.小红书店铺产品上架流程 .mp4 5.客服的聊天过程和子账号建立 .mp4 6.店铺营销工具使用和后台活动参加 .mp4 7.小红书产品上架以及拍单教程,mp4 8.小红书如何选品…

3d渲染的必备工具-渲染100,渲染100邀请码1a12

之前我陆续介绍了3D渲染的基本原理和流程、概念和技术,以及类型和方法等,想必大家学会了很多,今天我推荐一个在使用3D渲染时必不可少的工具,网渲平台-渲染100,这篇文章就带大家简单了解下。 渲染100官网:ht…

Docker Compose 的安装和使用详解

Docker Compose 是 Docker 官方开源的容器编排(Orchestration)项目之一,用于快速部署分布式应用。本文将介绍 Docker Compose 的基本概念、安装流程及使用方法。 简介 Compose 项目是 Docker 官方的开源项目,负责实现对 Docker 容器集群的快速编排。从功能上看,Docker C…

算法课程笔记——STL键值对map

map当下标无限的数组 重点是对应关系&#xff0c;一般不修改compare 类比set 没有lowerbound&#xff0c;因为遍历是无序的 ; map不能用sort函数排序 但可用vector转化为map使用 std::set<std::pair<TKEY, mutable TVAL> > ≈ std::map<TKEY, TVAL>

【Java基础】23.接口

文章目录 一、接口的概念1.接口介绍2.接口与类相似点3.接口与类的区别4.接口特性5.抽象类和接口的区别 二、接口的声明三、接口的实现四、接口的继承五、接口的多继承六、标记接口 一、接口的概念 1.接口介绍 接口&#xff08;英文&#xff1a;Interface&#xff09;&#xf…

使用CCS软件查看PID曲线

在刚开始学习PID的时候&#xff0c;都需要借助PID的曲线来理解比例&#xff0c;积分&#xff0c;微分这三个参数的具体作用。但是这些曲线生成一般都需要借助上位机软件或者在网页上才能实现。如果是在单片机上调试程序的话&#xff0c;想要看曲线&#xff0c;一般就是通过串口…

第二届 Oceanbase 开发者大会 实录

第二届 Oceanbase 开发者大会 实录 今天很有幸参加了Oceanbase 开发者大会&#xff0c;我是真的我一开始还不知道什么是Oceanbase &#xff0c;直到我开了会才知道。看来真的需要多参加一些这样活动。 会议议程 我们科普一下什么是Oceanbase OceanBase 是阿里巴巴集团推出…

openai whisper 语音转文字尝鲜

最近大模型很火&#xff0c;也试试搭一下&#xff0c;这个是openai 开源的whisper&#xff0c;用来语音转文字。 安装 按照此文档安装&#xff0c;个人习惯先使用第一个pip命令安装&#xff0c;然后再用第二个安装剩下的依赖&#xff08;主要是tiktoken&#xff09; https:/…

云知识库怎么搭建才适合中小企业?用这几个工具很轻松

当我们想到知识库时&#xff0c;可能会联想到庞大的公司和复杂的系统&#xff0c;但实际上&#xff0c;随着技术的发展&#xff0c;中小企业也可以利用各种工具来建立自己的云知识库。这样不仅能够提升企业的知识管理效率&#xff0c;还能优化客户服务流程。这篇文章会介绍三款…

数据线接口类型名称

USB TYPE-A 这个接口其实就是我们当下连接手机充电器的那个端口&#xff0c;该标准一般适用于个人电脑PC和手机适配器中&#xff0c;是应用于最广泛的接口标准。 USB TYPE-B TYPE-B接口想必很多人都没太接触过&#xff0c;因为这类线材一般用于打印机、显示器等连接传输。 US…

两个字的商标现在还可以申请下来不!

前几天有个申请主体给普推知产老杨发来多个两个字的商标名称&#xff0c;说要申请商标&#xff0c;而且还是日常用词组合&#xff0c;这样的就是想出来几十个大概率有相同或高近的&#xff0c;两个常用词及组合名称的商标名称基本都有注册的&#xff0c;但是也有捡漏的。 以前…