数字时代的软件开发普遍遵循敏捷实践,发布和部署周期都很短,开发团队非常依赖开源来加速创新迭代速度。因此,对团队项目中包含的每个开源组件进行跟踪非常重要,可以避免法律风险,保持强大的安全态势。
在DevSecOps环境中,SCA可以明确开源组件的可见性,帮助企业精准把控开源组件风险,避免软件带病上线。近年来,SCA逐渐成为企业软件治理的“必备神器”,强大能力的背后离不开关键技术的支撑,开源网安在为上百家客户服务的实践中认为,软件成分分析技术、组件多链路依赖分析技术、二进制分析、漏洞级代码溯源分析、函数级漏洞可达性定位检测等几大技术是决定SCA检测能力的关键,本期我们将对这些关键技术进行深入解析。
基于包管理器的SCA分析技术
基于源码溯源的SCA分析技术
多链路组件依赖分析技术
制品二进制成分分析技术
对被检测的二进制制品文件进行递归提取内容,通过文件格式识别引擎识别格式,对不同格式的文件分别调用特征提取引擎,提取二进制制品文件的特征信息。使用特征匹配算法,通过图相似、函数相似、语义相似等算法与开源组件特征库进行匹配运算,确定引入的开源组件名称和版本,结合开源知识库的数据支持,获取开源组件的许可和漏洞风险信息,提取二进制特征的同时找出制品中的敏感信息,生成敏感信息清单,有效发现软件中潜藏的薄弱点。
安全漏洞可达性分析技术
随着数字化的深入,更多未知风险也将推动SCA的应用范围变广、检测能力增强以及更加智能化。因此,企业在选择SCA工具时,需要通过关键技术了解其检测能力与发展潜力,匹配自身安全需求,建立最佳开源治理体系,保障数字化建设的安全发展。
原文始发于微信公众号(安全牛):软件成分分析SCA关键技术解析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论