漫談軟件成分分析(SCA)安全測試技術
1 、什么是SCA
SCA(Software Composition Analysis)軟件成分分析,通俗的理解就是通過分析軟件包含的一些信息和特征來實現對該軟件的識別、管理、追蹤的技術。我們知道在當今軟件開發中,引入開源軟件( 注1 )到你的項目中,避免重復造輪子是大家都再熟悉不過的了,比如開源庫中開源軟件按每年21%速度在增長( 來源Forrester報告 ),開源安全威脅成為企業組織無法回避的話題,而應用SCA技術對應用程序進行安全檢測,實現安全管理是最行之有效的方法之一。
2、基本原理
- SCA理論上來說是一種通用的分析方法,可以對任何開發語言對象進行分析,Java、C/C++、Golang、Python、JavaScript等等,它對關注的對象是從文件層面的文件內容,以及文件與文件之間的關聯關系以及彼此組合成目標的過程細節。從SCA 分析的目標程序形式上分,既可以是源代碼也可以是編譯出來的各種類型的二進制文件,分析的數據對象對程序架構,編譯方式都是不敏感的,比如:類名稱、方法/函數名稱、常量字符串等等,不管目標程序運行在x86平臺還是ARM平臺,不管是windows程序還是Linux程序,都是一樣的,簡而言之SCA 是一種跨開發語言的應用程序分析技術。
- SCA分析過程:首先對目標源代碼或二進制文件進行解壓,并從文件中提取特征,再對特征進行識別和分析,獲得各個部分的關系,從而獲得應用程序的畫像—–組件名稱+版本號,進而關聯出存在的已知漏洞清單。
- 由于SCA分析過程中不需要把目標程序運行起來,因此具有分析過程對外部依賴少,分析全面,快捷、效率高的優點;
3、業界TOP SCA工具分析
根據Forrester最新SCA報告,Forrester通過10個維度(注3)對不同工具進行打分,最后根據綜合得分評選出如下業界TOP 10 SCA工具魔力象限圖):
注:圖片和數據引用來自Forrester報告
3.1工具概覽分析
- TOP 10 SCA工具中有5款支持軟件包(注2)開源軟件SCA檢查能力(synopsys/Sonatype/Veracode/Jfrog/GitLab),其他工具只支持源代碼SCA檢查能力。
- 5款支持軟件包SCA檢查工具中,對C/C++、Java、.Net語言支持的比較好,但對Golang、python、JavaScript語言支持能力偏弱,比如:synopsys支持的組件對象中前面3種語言占大頭90%+,相應的檢測率也高,而Golang語言的組件檢出率則低很多。
- SCA已從主要用作對開源軟件的檢測向應用程序的典型編碼問題檢測趨勢擴展,比如Veracode工具,它能提供了對諸如緩沖器溢出、命令行注入、死鎖、重復釋放、整形數溢出、UAF、格式化字符串漏洞,SQL注入等典型編碼問題的檢測能力。
4、影響SCA分析準確性的因素分析
- 從SCA原理可以知道影響分析準確性的因素分兩個方面:其一是SCA工具支持組件的數量和檢測算法,其二是應用程序引用開源軟件的方式。
- 因為SCA工具是根據樣本組件特征來匹配被測程序中的特征來判斷應用程序是否引用該組件的,因此支持組件的數量越多,那么檢測率也就越高,支持的組件數量越少,越會導致檢測遺漏;另外檢測算法和特征設計是否合理也直接影響到分析的準確性和分析效率,不同SCA工具廠商有不同的解決方案,就好比在手機上識別指紋/人臉一樣,不同廠商識別的靈敏度和準確度都不一樣。
- 應用程序在引用開源軟件時,不同的應用程序即使引用同一個組件也存在引用不同的功能,引用功能的多少也各不相同,這樣帶來的結果就是在應用程序中包含該組件的特征數量也是大小不同的,引用功能多包含的特征一般也多,引用的功能少包含的特征也少。而應用程序包含組件特征的多少直接影響到SCA工具的檢測的準確性,組件特征越少SCA工具檢測越困難,因此即使兩個不同應用都引用了相同組件,可能一個應用可以檢測到,另外一個應用則無法檢測出該組件。這種場景對SCA工具檢測二進制文件尤其明顯。
- 由于存在上述SCA分析準確性,在極限情況下如果無法檢測出組件,那么也就無法知道應用程序中是否存在該組件的漏洞了。
5、總結:
- 不管是源代碼文件的SCA檢測工具還是二進制文件的SCA檢測工具,他們是一種互補的關系,各有各的優缺點,比如二進制文件的SCA檢測能發現構建過程中工具鏈引入的安全問題,而源代碼的SCA則不能,SolarWinds事件就很好的說明了這一點。
- 目前SCA工具檢測開源軟件的已知漏洞是基于組件名稱+版本號來關聯出已知漏洞的,對部分編譯場景(只有部分組件代碼被編譯到二進制文件中)和patch打補丁場景(漏洞已修復),誤報率高。
- SCA工具掃描效率和準確性是一對矛盾體,這是工具廠商需要權衡考慮的地方,而既能提升準確率又不會降低掃描效率的技術永遠是SCA工具廠商研究的課題和追求的目標。
注1:Top 10開源軟件編程語言:JavaScript(51%)、C++(10%)、Java(7%)、Python(7%)、Ruby(%5)、Go(4%)、C(4%)、PHP(4%)、TypeScript(4%)、C#(3%)、Perl(2%)、Shell(1%)
注2:軟件包是指產品用來安裝、運行的發布包,里面包含了產品編譯好的可以運行的二進制文件,比如.so/.jar/.exe/.dll/.pyc
審核編輯:湯梓紅
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
軟件
+關注
關注
69文章
4973瀏覽量
87734 -
SCA
+關注
關注
1文章
36瀏覽量
11991 -
代碼
+關注
關注
30文章
4803瀏覽量
68752
發布評論請先 登錄
相關推薦
什么是熱重分析(TGA)
什么是熱重分析(TGA)熱重分析(TGA)在專業領域扮演著至關重要的角色。該技術通過精確測量樣品在受控溫度變化下的質量變化,來分析材料的熱穩定性、分解行為和
掃描電鏡與氬離子拋光技術在樣品成分分析的作用
功能材料分析的關鍵工具場發射掃描電鏡(FE-SEM)是現代科學研究中不可或缺的工具,尤其在功能材料分析、微納結構觀測以及結構組分分析等領域。高分辨場發射掃描電鏡的優勢與傳統的掃描電鏡相比,高分辨場
使用Phase Lab鎳基動力學數據庫計算多組分合金的成分分布曲線
鎳基動力學數據庫 計算多組分合金的成分分布曲線 ? ? ?眾所周知,擴散是固體材料中的一個重要現象,是固相中唯一的物質遷移方式,廣泛存在于材料的制備和使用過程中,如熱處理中的相變、動態回復再結晶
導航分析儀的技術原理和應用場景
導航分析儀的技術原理 信號接收與處理:信號接收:導航分析儀能夠接收來自導航衛星、地面導航基站等發射的導航信號。這些信號包含了衛星的位置、時間等信息,以及地面基站的相關導航指引信息。例如
發表于 11-19 15:13
LED的TEM分析
每一項測試結果的準確性和可靠性。不同類型的芯片結構在工藝設計上有所不同,金屬電極與外延各層成分分析與厚度測量常常需要通過TEM分析才能獲得更加精確的信息。電極結構是
Simcenter Testlab測試分析軟件
SimcenterTestlabSimcenterTestlab是一個將數據采集與測試分析工具相結合的集成式解決方案,能夠有效提高測試效率并提供更可靠的結果。SimcenterTestlab軟
陸地移動無線電調制分析儀的技術原理和應用場景
系統中的傳輸情況,確保列車之間的通信安全。
現場維護和技術支持:對于數字集群通信(LMR)和專業移動射頻(PMR)技術人員來說,陸地移動無線電調制分析儀是現場維護和
發表于 11-05 14:28
參數分析儀的技術原理和應用場景
儀,如硬度測試儀,通過施加一定的壓力于樣品表面,然后測量樣品的變形或恢復程度來評估其力學性能。這種測試通常基于壓入法或劃痕法等測量技術。
傳感器技術:
現代參數
發表于 10-17 14:42
矢量網絡分析儀軟件精準測試天線
自動化測試方法是通過系統集成的方式來實現,通過軟件程控網分等硬件設備來完成S參數測試。NSAT-1000是專門針對各類射頻器件性能測試的系統,為S參數
鑒源論壇丨軌交軟件測試技術詳述
作者 |劉艷青 上海控安安全測評部測試經理 版塊 |鑒源論壇 · 觀通 社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區” 01 集成測試
國產化自動測試軟件ATECLOUD提供于研發、生產測試方案
國產軟件的發展對于減少對外依賴、維護國家信息安全、促進經濟社會發展具有重要作用。ATECLOUD的研發和應用,能夠在確保測試準確性和高效性的同時,保障技術數據的
首樣免費掃描電鏡SEM-EDS測試分析【博仕檢測】
?形貌觀察,鍍層厚度測量,錫須長度測量等;
材料微觀結構觀察,如金屬材料的晶粒及晶界分析, 鑄鐵材料石墨形態分析、鋼鐵材料的金相觀察, 納米材料分析等;
區成分分析,利用電子束與物質作
發表于 03-01 18:59
知語云全景監測技術:現代安全防護的全面解決方案
是一種先進的安全防護手段,它集成了大數據分析、人工智能、云計算等尖端技術,能夠實時監測網絡環境中的各種安全風險,為企業和個人的數據安全提供堅
發表于 02-23 16:40
工商網監
評論