在創(chuàng)建、測(cè)試和部署軟件時(shí)，許多開(kāi)發(fā)公司現(xiàn)在使用專(zhuān)有軟件和開(kāi)源軟件(OSS)。

專(zhuān)有軟件，也稱(chēng)為封閉源代碼或非自由軟件，包括發(fā)布者或其他人保留修改、使用或共享修改的許可權(quán)利的應(yīng)用程序。示例包括 Adobe Flash Player、AdobePhotoshop、macOS、MicrosoftWindows 和 iTunes。

相比之下，OSS授予用戶(hù)使用、更改、研究軟件及其源代碼并將其分發(fā)給互聯(lián)網(wǎng)上任何人的能力。因此，任何人都可以參與軟件的開(kāi)發(fā)。示例包括MongoDB、LibreOffice、ApacheHTTP Server 和 GNU/Linux操作系統(tǒng)。

這意味著許多組織正在為其OSS 使用第三方代碼和模塊。雖然這些添加對(duì)許多應(yīng)用程序來(lái)說(shuō)非常有用，但它們也會(huì)使組織面臨風(fēng)險(xiǎn)。根據(jù) Revenera 的2022 年軟件供應(yīng)鏈狀況報(bào)告，64%的組織受到 OSS依賴(lài)項(xiàng)漏洞引起的軟件供應(yīng)鏈攻擊的影響。

盡管OSS 會(huì)使組織面臨風(fēng)險(xiǎn)，但避免OSS 軟件和依賴(lài)項(xiàng)是不切實(shí)際的。OSS 軟件和依賴(lài)項(xiàng)現(xiàn)在在開(kāi)發(fā)中扮演著不可或缺的角色。對(duì)于 JavaScript、Ruby和 PHP應(yīng)用程序框架尤其如此，它們傾向于使用多個(gè)OSS 組件。

由于軟件公司實(shí)際上無(wú)法避免使用OSS，因此網(wǎng)絡(luò)安全團(tuán)隊(duì)必須通過(guò)使用軟件組合分析(SCA) 工具來(lái)避免與OSS 相關(guān)的漏洞。此外，他們需要將 SCA 與靜態(tài)應(yīng)用程序安全測(cè)試(SAST) 相結(jié)合，因?yàn)檫€使用了Microsoft Windows 和Adobe Acrobat 等專(zhuān)有軟件。

什么是SAST？

SAST是一種代碼掃描程序，可審查專(zhuān)有代碼和應(yīng)用程序源中的網(wǎng)絡(luò)安全弱點(diǎn)和錯(cuò)誤。SAST 也稱(chēng)為白盒測(cè)試，被認(rèn)為是一種靜態(tài)方法，因?yàn)樗诓贿\(yùn)行應(yīng)用程序本身的情況下分析代碼。由于它只逐行讀取代碼而不執(zhí)行程序，SAST平臺(tái)在消除軟件產(chǎn)品開(kāi)發(fā)生命周期(SDLC) 每一頁(yè)的安全漏洞方面非常有效，尤其是在開(kāi)發(fā)的前幾個(gè)階段。

具體來(lái)說(shuō)，SAST程序可以幫助團(tuán)隊(duì)：

查找常見(jiàn)漏洞，例如緩沖區(qū)溢出、跨站點(diǎn)腳本和SQL 注入

驗(yàn)證開(kāi)發(fā)團(tuán)隊(duì)是否符合開(kāi)發(fā)標(biāo)準(zhǔn)

根除供應(yīng)鏈攻擊等蓄意違規(guī)行為

在代碼投入生產(chǎn)并制造漏洞之前發(fā)現(xiàn)弱點(diǎn)

掃描開(kāi)發(fā)團(tuán)隊(duì)不知道的專(zhuān)有軟件錯(cuò)誤的所有可能狀態(tài)和路徑

通過(guò)在 SDLC的早期減少問(wèn)題來(lái)實(shí)施主動(dòng)安全方法

SAST 在軟件開(kāi)發(fā)中扮演著不可或缺的角色。通過(guò)在開(kāi)發(fā)團(tuán)隊(duì)編寫(xiě)代碼時(shí)向他們提供實(shí)時(shí)反饋，SAST可以幫助團(tuán)隊(duì)在進(jìn)入SDLC 的下一階段之前解決問(wèn)題并消除問(wèn)題。這可以防止錯(cuò)誤和漏洞累積。

什么是 SCA？

SCA 是一種代碼分析工具，可檢查源代碼、程序包管理器、容器映像、二進(jìn)制文件，并將它們列在稱(chēng)為物料清單(BOM) 的已知漏洞清單中。然后，該軟件將 BOM與包含常見(jiàn)和已知漏洞信息的數(shù)據(jù)庫(kù)進(jìn)行比較，例如美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)。這種比較使網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠發(fā)現(xiàn)關(guān)鍵的法律和安全漏洞并修復(fù)它們。

一些 SCA工具還可以比較它們的已知漏洞清單，以發(fā)現(xiàn)與開(kāi)源代碼相關(guān)的許可證。尖端的 SCA 還可能能夠：

分析整體代碼質(zhì)量（即貢獻(xiàn)歷史和版本控制）

自動(dòng)化使用 OSS模塊的整個(gè)過(guò)程，包括根據(jù)需要選擇和阻止它們進(jìn)入IT 環(huán)境

針對(duì)組織部署應(yīng)用程序后報(bào)告的漏洞提供持續(xù)警報(bào)和監(jiān)控

檢測(cè)并映射無(wú)法通過(guò)其他工具發(fā)現(xiàn)的已知OSS 漏洞

通過(guò)識(shí)別開(kāi)源包中的許可證，映射與OSS 依賴(lài)項(xiàng)相關(guān)的法律合規(guī)風(fēng)險(xiǎn)

監(jiān)控新漏洞

每個(gè)軟件開(kāi)發(fā)組織都應(yīng)該考慮獲得SCA 以實(shí)現(xiàn)法律和安全合規(guī)性。SCA 安全、可靠且高效，使團(tuán)隊(duì)只需單擊幾下鼠標(biāo)即可跟蹤開(kāi)源代碼。如果沒(méi)有 SCA，團(tuán)隊(duì)需要手動(dòng)跟蹤開(kāi)源代碼，由于OSS 依賴(lài)項(xiàng)的數(shù)量驚人，這幾乎是不可能的。

審核編輯 ：李倩