源代码与二进制文件SCA检测原理

最新推荐文章于 2024-07-14 20:29:07 发布
最新推荐文章于 2024-07-14 20:29:07 发布
阅读量313 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kkaw1/article/details/127289924
版权
本文介绍了源代码与二进制文件在SCA(软件成分分析)中的检测原理。源代码SCA利用文件相似度和语义分析进行组件识别,而二进制SCA则依赖于常量字符串、类名和函数名等特征。两者各有优劣,源代码SCA准确率高,二进制SCA适用于特定场景。
摘要由CSDN通过智能技术生成

源代码与二进制文件SCA检测原理

1、源代码与二进制的关系和特点

SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。SCA具体的检测原理又是如何实现的,源代码和二进制文件的SCA检测又有哪些相同点和不同点,下面内容就来回答一下上述疑问。

对应编译类型的语言(C/C++/Go/Rust),都是遵循:源代码—>编译—>链接—>二进制文件的过程。影响二进制文件的因素包括不同的CPU架构(ARM、X86、PPC、MIPS…),不同的操作系统(Wndows、Linux、iOS、Android…),不同的编译优化选项(O0~O3),即使是同一套源代码,最终编译生成的二进制文件之间也是差别非常大的。注:上述影响因素不涉及java语言

从上面可知源代码和二进制文件之间存在巨大的差别,源代码是基于高阶语言来编写,是给人看的,人看了很方便理解其中语句的语义;而二进制是由流(指令流或字节流)来构成的,是给计算机“看”的,对人来说是非常不友好,不好理解。

源代码包含了变量符号类型、函数名称、类名称、代码逻辑结构等大量丰富的代码信息,相反为保留二进制文件的紧凑性,编译生成的二进制文件中会丢弃掉很多运行时用不到的信息,只保留程序正确运行必要的信息,比如被丢弃的信息有变量类型、变量名称等符号信息,可能被保留的有类名称、函数名称等信息,一定会保留的有常量字符串数据。另外为了保证程序的正确运行,还会有保留一个相应的配置信息,比如jar包中的manifest信息、POM信息、maven信息、资源文件等。基于这些特点源代码SCA和二进制SCA的检测原理也存在很大的不同。

最低0.47元/天 解锁文章
kkaw1
关注
源代码扫描工具】 -fortify SCA原理简介
zhaizhai的博客
06-29 4334
1-Fortify SCA(Fortify Source Code Analysis)是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的...
漫谈SCA(软件成分分析)测试技术:原理、工具与准确性
nidongla的博客
04-29 796
摘要:本文介绍了SCA技术的基本原理、应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势;让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问题,从而帮助提升软件安全质量。 1、什么是SCA优惠券 https://www.fenfaw.cn/ SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。我们知道在当今软件开发中,引入开源软件(注1.
漏洞检测方法如何选?详解源代码二进制SCA检测原理
华为云官方博客
12-07 1439
摘要:本文探讨的是SCA具体的检测原理源代码SCA检测二进制SCA检测有哪些相同点和不同点,在进行安全审计、漏洞检测上各自又有什么样的优势和适用场景。
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 3558
软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。
二进制级别自动漏洞检测(二)
weixin_43926330的博客
12-21 1621
源代码在大多数软件安全分析的情况下是不可用的。因此,二进制代码分析被用于许多原因,包括软件取证,恶意软件分析,性能分析和调试。文献中有很多二进制代码分析方法,其中最常用的有符号执行、concolic执行、静态污染分析和动态污染分析为了验证我根据之前一篇文章所提出的一种想法,准备一步步进行实现。首先需要建立自己的污点分析工具,污点分析分为静态和动态。对于动态污点分析已经有一系列工具被提出,本文将进行详细介绍。 为了改善符号执行中发现的一系列问题,研究者们开始污点分析,最早的污点分析是由Funnywei提出的(
深入浅出SCA的事务设计原理和运行机制
cuanjiatong1813的博客
04-21 157
1. 简单介绍一下WPS但从代码的角度来看,越自动化、越简单的东西后面必然封装了更复杂的封装。从工具的角度来看,它只是试图把复杂的事情简单化,图形化,拖拽化,配置话,脏活累活都自己默默完成。这样做的...
SCA技术进阶系列(三):浅谈二进制SCA在数字供应链安全体系中的应用
OpenSCACommunity的博客
07-21 277
源代码安全问题不仅存在于源代码,在构建过程中也会引入问题,因此构建阶段的二进制产物有必要进行SCA分析。快点进来了解一下二进制SCA在数字供应链安全体系中的应用吧~
多因子SCA检测源代码SCA二进制SCA的异同
qzt961003的博客
08-03 332
多因子SCA检测源代码SCA二进制SCA的异同
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
二进制SCA指纹提取黑科技: go语言逆向技术
KeJiGuaiKa的博客
09-01 255
华为云DevCloud一直致力于为客户提供端到端提效、全链路安全的研发环境,除无需依赖源码二进制成分分析外,即将陆续发布更多的新技术、新能力,敬请期待。
Linux系统中二进制包和源码包的区别
weixin_43214528的博客
09-06 808
Linux系统中二进制包和源码包的区别源码二进制包 起因是因为在安装nginx的时候和团队内的其他人安装方式不同,搞出一点小麻。 领导:你这个nginx是用源码包还是用二进制包下载的啊? 我:嗯?我用链接下载的,反正不是用的yum指令。 问题解决后准备深入了解这两种安装方式的差异,结合网上已有资料和自身心得整理于此,仅供交流。 源码源码包需要自行前往官方网站下载,它作为一群文件的集合,通常以压缩包的形式发行。它具有开源,安装功能自选,配置灵活等优点,但是也有安装需要编译,编译时间长等缺点。由于大多数软
源代码方式和二进制包的区别
chihouzi的博客
04-25 9226
源代码方式和二进制包是软件包的两种形式。二进制包里面包括了已经经过编译,可以马上运行的程 序。你只需要下载和解包(安装)它们以后,就马上可以使用。源代码包里面包括了程序原始的程序代码,需要在你的计算机上进行编译以后才可以产生可以运行程 序,所以从源代码安装的时间会比较长。 source code 是程序员跑的码, binary code 是机器跑的代码。 source code 得经过 compi...
二进制成分分析软件(组件漏洞扫描)
最新发布
苏叶新城
07-14 427
推荐使用悬镜,支持IDEA插件,在线分析maven依赖。进入二进制成分分析页面。进入二进制成分分析页面。一个账号免费扫描5次。
二进制包(binary file)和源代码文件的区别
Rot_Tianers
03-30 3995
区别 binary文件二进制包里面包括了已经经过编译,可以马上运行的程 序。你只需要下载和解包(安装)它们以后,就马上可以使用; 源代码方式:源代码包里面包括了程序原始的程序代码,需要在你的计算机上进行编译以后才可以产生可以运行程 序,所以从源代码安装的时间会比较长; 联系 sourcecode是程序员跑的码, binarycode是机器跑的代码。 sourcecode得经过 ...
Linux之软件包管理
zhengshuangyue的博客
04-06 1821
Linux之软件包管理
科恩二进制静态漏洞检测工具BinAbsInspector
sinat_31054897的博客
06-13 1232
科恩二进制静态漏洞检测工具BinAbsInspector
什么是SCA(软件成分分析)
m0_50579386的博客
03-16 8767
在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力。
FortifySCA分析与扫描指南:转换、命令行与源代码解析
对于Java代码的转换,Fortify SCA提供了特定的命令行语法,允许开发者针对Java项目进行源代码转换和分析。例如,可以编写命令行脚本来执行这些操作,以确保在开发过程中及时发现并修复安全问题。 本手册详细介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值