7月24日,移动云开发者社区“遇见大咖”系列活动第1期——“SCA可达性分析”线上直播活动成功举办。通过本次直播我们了解了SCA软件成分分析技术是一种先进的软件分析技术,这项技术可以帮助开发者了解软件中各个组件的安全性、版本等信息,从而及时发现和解决潜在的安全问题,提高软件的安全性和稳定性。
以下为苏州棱镜七彩信息科技有限公司CTO 杨好颖老师的演讲实录。
杨好颖,北京大学信息安全实验室硕士毕业,在百度作为高级软件工程师和高级项目经理负责百度的 DevOps 平台相关研发;前美丽说无线事业部高级架构师,负责移动端的整体架构和服务端研发;前海致科技大数据北京事业部负责人,整体负责日志大数据平台的产品和研发;前云集智造 CTO,负责智能运维系列产品的研发;现在在棱镜七彩负责产品管理和研发。
SCA(Software Composition Analysis)软件成分分析工具采用指纹提取相关技术,能够准确的提取系统中使用的开源组件成分信息并通过开源组件库、漏洞库对开源组件进行已知漏洞分析,给出漏洞严重程度、评分、攻击方式等信息,并利用知识图谱相关技术分析漏洞传播影响范围,从而协助企业提高开源治理效率。
现有的 SCA 工具基于代码和构建文件的分析,可以识别出被测项目所使用的第三方组件,并关联这些组件所包含的漏洞。然而,传统的 SCA 工具仅仅检测组件和漏洞的存在性,而没有对组件漏洞是否会被自研代码触发进行进一步的分析,这导致了大量的误报情况的出现。
最近华中科技大学在 2022 年开展了一项规模庞大的实证研究,首次从漏洞补丁代码的角度分析生态系统中已知漏洞对下游软件的安全威胁。令人惊讶的是,研究结果显示,现有的 SCA 工具的误报率高达 86%。
这一发现提醒我们在使用 SCA 工具时要谨慎,需要结合其他分析手段进行验证,以确保安全评估的准确性。因此,在软件安全评估中,选择可靠的 SCA 工具和综合分析方法至关重要,以提高漏洞检测的精确性和可靠性。
SCA 软件成分分析技术的核心目标是对软件的成分进行全面的分析和评估。通过对软件中的组件、库、运行时依赖等各个成分进行深入分析,可以识别出可能存在的安全隐患和漏洞,并提供详细的安全性评估报告。软件成分分析技术在软件开发生命周期中起到关键的作用,可以有效减少软件漏洞的风险,保证软件在发布前经过全面而准确的安全评估,从而为用户提供可信赖的软件产品。
漏洞代码对齐技术是一项重要的安全分析技术,特别针对 CVE 漏洞进行准确定位。通过该技术,能够将 CVE 漏洞所涉及的组件或版本对齐到具体的文件、函数或代码行,只有找到漏洞可能被利用的代码位置,才能进行针对性的漏洞可达性分析。漏洞代码对齐技术提供了精确的漏洞定位信息,使开发人员能够快速了解漏洞的具体影响范围和危害程度,并采取相应的安全措施进行修复和预防。这项技术对于提高软件的安全性,有效防范潜在的安全威胁具有重要意义。
源代码静态分析技术是一种强大的安全分析工具,通过对源代码的分析来检测潜在的漏洞和安全风险。该技术利用函数调用分析、控制流分析等方法,确定自研代码是否存在漏洞可达路径,以及漏洞是否能够被自研代码触发。源代码静态分析技术帮助开发者发现潜在的安全问题,尽早修复和预防漏洞,减少后期漏洞修复的成本和风险,提高软件的安全性和可靠性。这项技术对于确保软件的质量和安全性具有重要价值,为开发者提供了一个强有力的工具来保护软件免受安全漏洞的威胁。
SCA 漏洞可达性分析技术是一种专业的安全分析技术,旨在分析和评估漏洞的可达性和威胁程度。通过对漏洞代码的分析,结合漏洞对齐技术和源代码静态分析技术,SCA 漏洞可达性分析技术能够准确判断漏洞是否存在可达路径,从而预测漏洞是否有可能被自研代码触发。这项技术对于提高软件的安全性和减少潜在的漏洞风险具有重要作用。SCA 漏洞可达性分析技术提供了全面的漏洞评估和分析,帮助开发者快速定位漏洞、修复漏洞,并制定相应的安全策略,保障软件的安全。
