侵权投诉

搜索
更多>> 热门搜索:
订阅
纠错
加入自媒体
发文

企业如何开展软件成分分析工作?上海控安有话说

2020-07-29 17:33
上海控安
关注

为了加速业务创新,应用开源技术提升开发效率成为企业的主流选择,但这也导致了日益依赖复杂的软件供应链。虽然有诸多优点,但广泛应用开源组件也带来了新的安全挑战,软件成分分析(SCA)应运而生。

软件成分风险日益加剧

近日,Synopsys 公司发布了《2020 年开源安全和风险分析(OSSRA)报告》。报告显示:2019 年审计的代码库中,有70% 进行了开源,同比增长10%。但其中 75% 的代码库中包含已知的安全漏洞,49% 的代码库包含高风险漏洞。无独有偶,今年3月安全公司 WhiteSource 发布的《开源年度报告》也指出,2019 年公开披露的开源漏洞为 6100 个,同比增长 50%。

除了安全漏洞外,应用开源组件导致的法律风险也日渐增多。很多企业对于开源协议以及引用规范并不是十分清晰,进而引起各种不必要的争议甚至法律纠纷。如博云在使用开源项目 Apache SkyWalking 时违反了该项目声明的 Apache License Version 2.0 开源协议规定被要求整改。

软件成分分析应运而生

组件问题由来已久,但直到不久前,软件供应链还是国内企业忽略的主题,SCA相关工具市场份额也一直被国外企业长期垄断。早在2013年版和2017年版的《OWASP Top 10》文档中,就对“使用含有已知漏洞的组件”进行了收录和分析,以提醒安全团队和开发团队注意由组件自带安全漏洞而对应用引入的安全风险。2019年,Gartner在《应用安全测试(AST)魔力象限》报告中把SCA纳入AST技术领域范围,从而形成了包含SAST、DAST、IAST和SCA的应用软件安全测试技术体系;并正式发布了有关软件成分分析(SCA)的技术洞察报告,对软件成分分析技术进行了准确定义:软件组件分析产品对应用程序进行分析,以检测开源软件组件是否带有已知的安全漏洞或功能漏洞,及需要恰当授权许可的商业软件或第三方产品。它有助于确保企业软件供应链仅包含安全的组件,从而支持安全的应用程序开发和组装。

至此,SCA正式走进国人视野。

软件成分分析应用场景

1.应用软件安全开发场景

随着行业对软件安全开发越发重视,无论是体系化的SDL或S-SDLC开发流程方法落地,还是DevSecOps思想的实践,都对第三方组件的安全使用提出了更高要求。因此,在软件安全开发过程中,SCA将对开源组件进行资产管理与检测分析,这同时适用于传统Web应用开发和新基建范畴应用系统开发场景。

2.软件授权许可分析场景

在知识产权保护的影响下,基于不同软件授权许可的软件代码合理使用,正成为新的技术关注点。近年,国内外已先后发生了多起因未对软件授权许可正确理解而使用开源组件引起的法律纠纷案件。SCA可以对不同软件组件的授权许可进行分析,避免潜在的法律风险。

企业如何落地软件成分分析

企业落地SCA通常有以下典型痛点:

  • 对开源组件管控缺乏统一规划和管理体系;

  • 搞不清自主研发或外包研发的软件系统使用了哪些开源组件;

  • 搞不清这些开源组件当前的安全状况;

  • 没有专人专岗,且理不清与软件开发团队、安全保障团队之间的工作关系。基于上述思路,上海控安研发工业软件成分分析工具SmartRocket Scanner,通过使用者所上传的二进制文件或是源代码的连接,检索其中所利用的开源文件,并与国内外数据库进行比对,检测文件中所存在的安全漏洞与许可证隐忧等问题,并提供相对应的信息与修复建议。

1  2  3  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号