近年來(lái)，軟件供應(yīng)鏈安全相關(guān)攻擊事件呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重，為了保障軟件供應(yīng)鏈安全，各行業(yè)主管單位也出臺(tái)了諸多政策及技術(shù)標(biāo)準(zhǔn)。基于內(nèi)部多年的實(shí)踐，螞蟻數(shù)科金融級(jí)云原生PaaS平臺(tái)SOFAStack發(fā)布完整的軟件供應(yīng)鏈安全產(chǎn)品及解決方案，包括靜態(tài)代碼掃描Pinpoint，軟件成分分析SCA，交互式安全測(cè)試IAST，運(yùn)行時(shí)防護(hù)RASP，安全洞察Appinsight等，幫助客戶應(yīng)用軟件實(shí)現(xiàn)“發(fā)布前檢測(cè)，運(yùn)行時(shí)免疫”。

本文將著重介紹針對(duì)開(kāi)源組件風(fēng)險(xiǎn)發(fā)現(xiàn)場(chǎng)景的軟件供應(yīng)鏈安全產(chǎn)品——SCA軟件成分分析。

開(kāi)源組件安全的挑戰(zhàn)

為提高開(kāi)發(fā)效率、節(jié)約開(kāi)發(fā)成本，企業(yè)在軟件開(kāi)發(fā)過(guò)程中引入的開(kāi)源組件比例越來(lái)越高，而因此存在的開(kāi)源組件安全隱患卻未被重點(diǎn)關(guān)注。因此從開(kāi)源軟件治理層面出發(fā)，開(kāi)源組件安全面臨的挑戰(zhàn)包括：

• 組件通用漏洞風(fēng)險(xiǎn)急劇上升。黑客組織逐漸將目標(biāo)轉(zhuǎn)移在開(kāi)源軟件上，可以輕易找到源代碼漏洞從而入侵和攻擊，危及響應(yīng)系統(tǒng)或數(shù)據(jù)的完整性和機(jī)密性。據(jù)Synopsis相關(guān)數(shù)據(jù)統(tǒng)計(jì)，開(kāi)源代碼倉(cāng)庫(kù)中至少存在一個(gè)漏洞的倉(cāng)庫(kù)占整體開(kāi)原倉(cāng)庫(kù)的比例已上升到了84%。
• 開(kāi)源軟件許可證繁多且復(fù)雜。開(kāi)發(fā)人員使用的開(kāi)源軟件許可證繁多難以一一維護(hù)，并且存在誤使用黑客冒充的合法開(kāi)源或系統(tǒng)組件名稱的組件致使開(kāi)發(fā)者無(wú)法識(shí)別，另外，違規(guī)使用開(kāi)源軟件也會(huì)造成許可證合規(guī)性風(fēng)險(xiǎn)。
• 組件過(guò)維護(hù)期或未更新。由于開(kāi)發(fā)人員更側(cè)重業(yè)務(wù)自身規(guī)劃和版本改動(dòng)頻繁易引起兼容性問(wèn)題，從而導(dǎo)致對(duì)于其使用的運(yùn)行時(shí)版本、組件版本陳舊過(guò)維護(hù)期甚至從不升級(jí)。
• 堆積“技術(shù)債”問(wèn)題。開(kāi)發(fā)人員為加速業(yè)務(wù)開(kāi)發(fā)，使用開(kāi)源軟件或其他方案，從而導(dǎo)致組件依賴過(guò)多、缺陷過(guò)多的“技術(shù)債”，反向阻礙產(chǎn)品演進(jìn)。
• 軟件開(kāi)發(fā)人員安全意識(shí)淡薄。多數(shù)開(kāi)發(fā)人員對(duì)代碼安全質(zhì)量重視程度不夠，未遵守應(yīng)用程序安全開(kāi)發(fā)標(biāo)準(zhǔn)，同時(shí)其信息安全技術(shù)能力水平也是參差不齊的。

因此，SCA（Software Composition Analysis）工具應(yīng)運(yùn)而生，可以通過(guò)分析源代碼識(shí)別引入的開(kāi)源組件漏洞、許可證證書(shū)、開(kāi)源協(xié)議等信息，幫助企業(yè)開(kāi)發(fā)者深入掌握軟件成分中潛在的安全問(wèn)題。

SCA產(chǎn)品價(jià)值

SOFA Stack軟件開(kāi)發(fā)安全平臺(tái)SCA是一款智能開(kāi)源組件風(fēng)險(xiǎn)發(fā)現(xiàn)與分析產(chǎn)品，它能夠分析軟件結(jié)構(gòu)并判斷開(kāi)源組件的風(fēng)險(xiǎn)，從而幫助開(kāi)發(fā)人員和安全人員快速識(shí)別開(kāi)源組件的風(fēng)險(xiǎn)，并將安全風(fēng)險(xiǎn)前置處理，實(shí)現(xiàn)軟件供應(yīng)鏈安全中的安全漏洞修復(fù)、開(kāi)源風(fēng)險(xiǎn)規(guī)避等價(jià)值。

產(chǎn)品具備四大核心價(jià)值：

一、靈活的掃描接入方式

在SCA建設(shè)階段，對(duì)應(yīng)用程序引入了哪些組件是企業(yè)最為重要的一步，螞蟻SCA面向不同場(chǎng)景提供不同接入方式，從信息安全視角摸排研發(fā)技術(shù)棧、流程鏈路，并做相應(yīng)的數(shù)據(jù)卡點(diǎn)，完成相關(guān)風(fēng)險(xiǎn)數(shù)據(jù)的收集，協(xié)助企業(yè)盤(pán)點(diǎn)軟件資產(chǎn)。

1、Air Gap接入，不需要觸碰代碼。適合二進(jìn)制代碼靜態(tài)分析和軟件溯源分析場(chǎng)景，用戶可審計(jì)所有外發(fā)內(nèi)容，不會(huì)存在代碼泄露的風(fēng)險(xiǎn)。

2、API接入，授權(quán)訪問(wèn)私有源碼。適合大部分代碼分析場(chǎng)景，尤其是凱源代碼的檢測(cè)以及小規(guī)模試用場(chǎng)景，能直接生成完整的分析報(bào)告。

二、智能掃描分析流程

用戶通過(guò)授權(quán)或上傳代碼包到SCA程序分析平臺(tái)上，平臺(tái)獲取到用戶創(chuàng)建的任務(wù)利用智能分析引擎判斷適用的代碼分析方式并分別進(jìn)行代碼缺陷、精準(zhǔn)匹配、模糊匹配、情報(bào)聚合等分析技術(shù)和文件元數(shù)據(jù)特征比對(duì)技術(shù)進(jìn)行特征提取以確定組件關(guān)系，然后將結(jié)果聚合到統(tǒng)一平臺(tái)上再進(jìn)一步驗(yàn)證許可證是否沖突，最終生成質(zhì)量報(bào)告。在此流程中，支持的許可證數(shù)量多達(dá)4000+、倉(cāng)庫(kù)數(shù)超520w，掃描分析速度達(dá)到了百萬(wàn)組件分鐘級(jí)掃描粒度。

三、全面精細(xì)的風(fēng)險(xiǎn)透視能力

以全面地、精細(xì)化地可視化報(bào)表呈現(xiàn)開(kāi)源組件的安全風(fēng)險(xiǎn)，并提供解決方案，幫助安全人員精細(xì)化運(yùn)營(yíng)風(fēng)險(xiǎn)數(shù)據(jù)，同時(shí)也為開(kāi)發(fā)人員指導(dǎo)修復(fù)，做到風(fēng)險(xiǎn)透視的簡(jiǎn)潔、高效。

四、高可用部署

SCA依賴mysql的master-slave雙機(jī)房部署模式或minio的雙機(jī)房mirror實(shí)現(xiàn)高可用部署，同時(shí)為實(shí)現(xiàn)產(chǎn)品服務(wù)高可用可講兩個(gè)機(jī)房的服務(wù)器節(jié)點(diǎn)加入k8s集群，依托其管控能力實(shí)現(xiàn)應(yīng)用級(jí)別的高可用。通常情況下，每個(gè)應(yīng)用部署兩個(gè)實(shí)例且分布在兩個(gè)不同機(jī)房可確保產(chǎn)品服務(wù)的可靠性。

未來(lái)展望

目前，SOFA Stack軟件開(kāi)發(fā)安全平臺(tái)SCA產(chǎn)品源自于螞蟻集團(tuán)多年沉淀的代碼安全分析技術(shù)，持續(xù)在金融、制造、汽車、互聯(lián)網(wǎng)等各個(gè)行業(yè)落地實(shí)踐，建設(shè)起來(lái)完善的軟件供應(yīng)鏈安全和開(kāi)源治理解決方案，積累了豐富的實(shí)踐經(jīng)驗(yàn)，并不斷致力于提供更細(xì)粒度的資產(chǎn)風(fēng)險(xiǎn)透視和更絲滑的融入CI/CD流程能力，助力企業(yè)安全治理。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-765599.html

到了這里，關(guān)于SOFAStack軟件供應(yīng)鏈安全產(chǎn)品解析——SCA軟件成分分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！