数字时代的软件开发普遍遵循敏捷实践,发布和部署周期都很短,开发团队非常依赖开源来加速创新迭代速度。因此,对团队项目中包含的每个开源组件进行跟踪非常重要,可以避免法律风险,保持强大的安全态势。
在DevSecOps环境中,SCA可以明确开源组件的可见性,帮助企业精准把控开源组件风险,避免软件带病上线。近年来,SCA逐渐成为企业软件治理的“必备神器”,强大能力的背后离不开关键技术的支撑,开源网安在为上百家客户服务的实践中认为,软件成分分析技术、组件多链路依赖分析技术、二进制分析、漏洞级代码溯源分析、函数级漏洞可达性定位检测等几大技术是决定SCA检测能力的关键,本期我们将对这些关键技术进行深入解析。
通过对目标检测对象的配置文件及应用包中存在的二进制引入包进行扫描,获取其相关直接及间接引入的组件信息,并与知识库内容的匹配标识,获取相关的组件完整信息。可实现对已修改组件、组件间依赖关系识别、自研组件设定等组件行为。
源码溯源分析技术(或“同源分析”)通过收录开源源代码,并将相关代码进行索引处理,让源文件和目标文件合并后,既能检测自身代码是否有冗余重复代码,又能检测源代码和目标代码之间的代码重复情况。此技术不仅支持文件与文件之间的比较,而且拥有完善的未经授权的开源代码库,可以将应用代码和开源代码库的信息进行比较,覆盖率和精确度更高。
多链路组件依赖分析技术,主要基于包管理器的模拟构建实现组件依赖的过程跟踪和定位,将依赖树的数据信息与收集的开源数据进行数据核验,补充依赖树数据的其他信息,获取最终的依赖数据,帮助开发人员更好地理解和管理代码的复杂性,提高软件的质量和可靠性。
对被检测的二进制制品文件进行递归提取内容,通过文件格式识别引擎识别格式,对不同格式的文件分别调用特征提取引擎,提取二进制制品文件的特征信息。使用特征匹配算法,通过图相似、函数相似、语义相似等算法与开源组件特征库进行匹配运算,确定引入的开源组件名称和版本,结合开源知识库的数据支持,获取开源组件的许可和漏洞风险信息,提取二进制特征的同时找出制品中的敏感信息,生成敏感信息清单,有效发现软件中潜藏的薄弱点。
采用基于AST(抽象语法树)及调用分析方法,对用户上传的源代码进行AST信息提取,获取源代码的函数调用链信息,同时从主流开源仓库中下载开源项目各版本的源代码,提取源代码中的方法,将提取的函数信息存入开源组件知识库中,并与开源组件建立关联关系,形成开源函数库,基于对调用链、调用位置进行分析,为研发和安全部门提供更准确的修复信息。
随着数字化的深入,更多未知风险也将推动SCA的应用范围变广、检测能力增强以及更加智能化。因此,企业在选择SCA工具时,需要通过关键技术了解其检测能力与发展潜力,匹配自身安全需求,建立最佳开源治理体系,保障数字化建设的安全发展。
推荐阅读