SCA在得物DevSecOps平台上应用​

最新推荐文章于 2022-08-10 16:33:03 发布
最新推荐文章于 2022-08-10 16:33:03 发布
阅读量357 收藏 1
点赞数
分类专栏: Java编程 Spring Java 文章标签: java 开发语言 jvm 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_beautiful/article/details/125819642
版权

SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。

一、前言

现代开发项目中,应用程序中使用的大部分代码都是由开源代码构成的,其余的代码主要是作为"胶水"来组装和调用各种函数。据中国信息通信研究院统计的数据, 2020年中国已经使用开源技术的企业占比为88.2%,比2018年增长6.8%;有计划使用的占9.5%;暂未计划使用开源技术的企业占比为2.1%, 可以看出,中国开源软件应用比例逐年提升。 开源让这些软件更安全吗? 根据通信研究院数据显示,2020年热门开源项目中至少含有一个漏洞占84%,较2019年增长9个百分点;含有高危漏洞的占60%,较2019年增长11个百分点。

下面介绍两个例子

  • 最显著的例子就是去年爆发的Log4j2漏洞,Log4j2 是一个开源的基于 Java 的日志记录工具。该日志框架被广泛的应用于各种常见的服务中(spring-boot-starter-log4j2、Apache Struts2、Apache Flink)。从Apache Log4j2 漏洞影响面查询的统计来看,影响多达44029个开源软件,涉及相关版本软件包更是达到了340657个。
  • 2020年国内第一起一起关于 GPL 版权纠纷案裁判文书公示。一审判决书显示,GPL3.0 协议是一种民事法律行为,具有合同性质,可认定为授权人与用户间订立的著作权协议,属于我国《合同法》调整的范围。一审判定两侵权被告公司赔偿原告公司经济损失及维权合理费用共计 50 万元,并停止侵权行为。

目前开源软件所面临的除了以上介绍的 

最低0.47元/天 解锁文章
ikyrxbxfas
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从RSAC看DevSecOps的进化与落地思考
Anprou的博客
03-03 966
​0引言 2020年RSA Conference于2月24日至28日在美国旧金山如期召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应...
干货 | DevSecOps在携程的最佳实践
携程技术
07-09 1459
作者简介Living,携程高级基础安全工程师,关注应用安全、渗透测试方面的技术。一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面,为全球用户...
海云安SCA平台迎来新升级 助力企业全面透视开源组件安全风险
haiyunan的博客
04-21 475
海云安开源组件安全检测平台是一款集开源组件识别与安全管控于一体的软件成分分析与管理系统,基于B/S架构,采用自主研发的开源自建分析引擎为用户提供开源组件的发现、知识产权风险分析、漏洞告警及管理的服务。
DevSecOps敏捷安全
华章IT官方博客
07-25 704
随着云计算、微服务和容器技术的快速普及,不仅IT基础架构发生了巨大变化,IT组织的业务交付模式也迎来巨大变革—从传统瀑布式开发和一次性全量交付逐渐趋向DevOps敏捷开发和持续性交付。在业务交付规模不断扩大、交付效率要求不断提高、研发及运营场景走向一体化的大环境下,如何在保证快速交付节奏的前提下保障业务安全性是安全部门最大的难题。DevSecOps敏捷安全应运而生,它通过...
SCA-Soft Composition Analysis软件成分分析
qinh123的博客
06-11 2364
1. 概述 目前 SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现。但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP(运行时应用安全保护);2017年时侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析;2018年继续强调针对开源软件的软件成份分析。 软件成分分析(SCA,Software Composition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别
在ApacheTuscany上开发基于SCA的Web2.0应用
03-02
如今在企业级应用中,Ajax、Widget、RSS/Atom等Web2.0技术正在得到越来越广泛的使用,这些技术不但产生了良好的用户体验,同时也来越来越多地影响着许多前端系统的编程模式和系统架构。许多传统的JavaEE产品和框架也...
Eclipse开发ApacheTuscany上的SCA应用
03-03
该工具工作在Eclipse3.3Europa上。从Eclipse的工作区的菜单项中选择Help-SoftwareUpdates-FindandInstall。打开Install-FeatureUpdates对话框。选择"Searchfornewfeaturestoinstall",按下一步。显示...
SCA100t 和MCU在数字倾角传感器中的应用
01-19
采用VTI 公司生产的SCA100t 双轴倾角传感器和C8051F 系列单片机构成的数字倾角传感器,工作可靠,测量精度高。论文中主要论述了系统的硬件电路设计、软件工作流程,对影响精度的因素进行了分析,并提出了可行的解决...
浅析DevSecOps落地的最佳实践及工具
DevSecOps_的博客
03-10 1575
在过去的几年中,DevSecOps已成为DevOps生态系统中最热门的流行语之一。简而言之,很容易理解DevSecOps的含义以及人们对其关心的原因:这是一种将DevOps效率扩展到软件安全性的策略。 但是,当组织开始实际实施DevSecOps时,可能会发现一些棘手的问题。这时,组织可能需要一系列的工具以便实现DevSecOps。 让我们看一下组织如何才能实现DevSecOps,并逐步了解典型组织为了实现DevSecOps必须解决的主要问题。 什么是DevSecOps? 基本上,DevSecOps从一开始
scago:基于Go的声音更改应用程序,用于历时语言学和混合语言
03-31
Scago scago(或S oundç焊割一个pplier GO)是可以应用的音变规则集到一个字去图书馆。 这是使社区混杂的有用工具,可以以一种构造语言人为地创建历时性变化。 该库的灵感来自于KathTheDragon的SCE,这是一个用Python实现的类似工具。 建造 该库仍处于开发初期。 敬请关注!
gitlab(骨灰级入门)
最新发布
快要瘦了的小林的博客
08-10 4万+
gitlab的使用
什么是 DevSecOps?2022 年的定义、流程、框架和最佳实践
DevOps持续集成的博客
06-20 1万+
DevSecOps 是一套实用且面向目标的方法,用于确保系统安全。DevSecOps 被定义为通过与 IT 安全团队、软件开发人员和运营团队合作,在标准 DevOps 周期中建立关键安全原则的过程。以下是对 2022 年 DevSecOps 管道、框架和最佳实践的深入分析。目录什么是 DevSecOpsDevSecOps 管道如何工作?了解 DevSecOps 框架20...
安全领导力| GitLab 持续位列 Gartner AST 魔力象限
GitLab 中国发行版
05-07 621
GitLab位列 Gartner 魔力象限领导者象限。
SCA(Service Component Architecture)编程模型入门
笨笨熊的专栏
04-25 1276
2006 年 1 月 04 日本文将介绍SCA编程模型中的基本概念,并以一个简单的例子来说明它的一些基本用法,期待能够抛砖引玉,并为读者以后深入了解SCA打下基础。概览目前业界主要的软件厂商都在大力推广面向服务的架构(Service Oritented Architecture,SOA)的概念,但是对于很多客户来说,SOA的概念还是显得相对抽象的。为了使客户能够更加简单的实现向这种面向
三款主流静态源代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
使用KlockWork+GitLab实现静态分析安全测试
weixin_49715102的博客
09-14 1150
Gitlab是一款涵盖整个DevOps生命周期的集成解决方案。此外,KlockWork是一款能够优化DevSecOps生命周期的静态代码分析器,例如CI/CD Pipelines。当你同时使用GitLab和KlockWork这两款工具的时候,它们可以为开发团队提供强大的GitLab SAST解决方案。在这里,我们将解释Klocwork和GitLab集成的优秀之处。 GitLab是什么 GitLab是一款基于Web应用 的DevOps生命周期的工具,它为wiki、问题追踪和CI/CD 流水线功能提供了Git仓
【得技术】得社区
SmartCodeTech的博客
06-25 1091
背景 2021年是我司着重关注生产稳定性的一年,得社区服务早期是由PHP语言构建的单体应用支撑着日活百万用户,随着高速的发展在性能跟业务上已逐渐不能满足未来的需求与规划,在第一阶段上社区与架构团队同学提供了php + yaf、Java + spring cloud、Go + grpc + K8S的技术选型方案,考虑到服务性能与迁移成本,最终选择了 Go + grpc + K8S 作为此项工程的首选为社区微服务构建建立起了里程碑。 随着业务的发展,对稳定性要求越来越高,为增强业务服务的自治能力,提高
漫谈SCA(软件成分分析)测试技术:原理、工具与准确性
nidongla的博客
04-29 741
摘要:本文介绍了SCA技术的基本原理、应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势;让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问题,从而帮助提升软件安全质量。 1、什么是SCA优惠券 https://www.fenfaw.cn/ SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。我们知道在当今软件开发中,引入开源软件(注1.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值