SCA可达性分析基础知识普及

VIP文章 已于 2022-12-28 15:25:29 修改
阅读量507 收藏 2
点赞数 1
文章标签: 软件开发 软件工程 安全性测试
于 2022-12-28 15:03:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57648401/article/details/128468632
版权

最近开发安全/软件供应链安全是海内外最火爆的细分领域之一,SCA的可达性分析更是多次被提及。借着这个机会,做一个基础知识的普及。一是鸿渐作为深耕代码安全领域的小公司,靠的是专业硬实力,秀一下。二是很多职能人员缺乏专业性、没有鉴别能力,什么是好的,什么是差的,完全辨别不了,盲从心理特别厉害;我们一直怀着感恩的心服务客户,相互尊重,相互成就,有责任和义务做个普及三是号召更多的有为青年加入我们,踏踏实实做一款好用易用的代码安全产品。

01  分析目的

SCA工具基于代码(源代码、二进制代码)和构建文件(c语言的makefile文件、maven项目的pom.xml文件等)分析得到被测项目使用了哪些第三方组件,并关联得到这些组件包含的漏洞。问题在于,传统SCA工具仅分析组件和漏洞的存在性,并未分析组件是否被自研代码调用(组件可达性)漏洞是否会被自研代码触发(漏洞可达性),这造成了大量的误报。

2022年华中科技大学开展了一个大规模的实证研究,首次以漏洞代码的可达性的视角,分析了生态系统中漏洞对下游软件所造成的安全威胁,结果显示已有SCA工具的误报率

最低0.47元/天 解锁文章
鸿渐科技
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SCA 架构基础知识
10-16
一些关于SCA基础概念,希望对大家的学习有帮助。
SCA_matlab_稀疏分量分析_SCA_源码
10-02
稀疏分量分析SCA)源程序,内含实例验证,亲测可用
SCA软件架构设计理念分析
03-03
火龙果软件工程技术中心  1、概述SCA(ServiceComponentArchitecture)是一个开发SOA(Service-OrientedArchitecture)面向服务应用的简单模型规范,它描述用于使用SOA构建应用程序和系统的模型。它可简化使用SOA进行的应用程序开发和实现工作。SCA仅仅是个规范(http://www.osoa.org),各个涉及SOA技术的公司的实现也各不相同。本文主要分析ApacheTuscany开源项目(http://incubator.apache.org/tuscany/)中的SCA设计架构;因为我们不能满足于会用,而从这些大师们的作品中汲取营养,
SCA相关知识学习笔记
01-31
术语缩写:SCA:ServiceComponentArchitectureWPS:WebSphereProcessServerWSIF:WebServiceInvocationFrameworkWID:WebSphereIntegrationDeveloperSDO:ServiceDataObject ()基本组成元素和基本构建单位,也是我们具体实现业务逻辑的地方。SCA服务组件的主要接口规范是基于WSDL,部分服务组件也提供了Java接口。使用服务组件的客户端可以选择使用WSDL接口或Java接口
什么是可、不变、鲁棒可、随机可
04-21 2711
苏黎世联邦理工学院 安全和可是系统和控制中的基本问题。我们开发了一个框架和算法来解决确定和随机混合动力系统、具有多个竞争对手的系统以及安全集和目标集是动态和不确定的系统的安全和可问题。这些方法应用于空中交通管制、监视网络、电网和系统生物学。 由于它们在从工程到生物学和经济学的应用中的重要,可、生存和不变问题在动力学和控制文献中得到了广泛的研究。最近,通过对混合动力系统安全问题的研究,这些概念的研究得到了新的关注。可计算被用于解决空中交通管理系统、地面运输系统安全、飞
“遇见大咖”第一期演讲实录|SCA分析
AI科技大本营
07-26 526
【编者按】移动云MVP,作为产品共建专家、关键意见领袖及技术布道者,帮助开发者更好地了解和使用移动云。开发者社区希望携手移动云MVP,与开发者共生、共赢、共成长。7月24日,移动云开发者社区“遇见大咖”系列活动第1期——“SCA分析”线上直播活动成功举办。通过本次直播我们了解了SCA软件成分分析技术是一种先进的软件分析技术,这项技术可以帮助开发者了解软件中各个组件的安全、版本等信息,从而及...
关于JavaScript开源生态中安全漏洞传播及其演变分析
weixin_49832675的博客
05-19 288
本次我们团队基于Scantist独家的开源生态数据做了一次系统化安全分析,希望给开源社区的安全治理提供更多的见解和思路。
SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践
qq_53058639的博客
03-05 936
SBOM是保护软件供应链的关键部分,也是漏洞匹配和管理的基础。对于企业而言,SBOM是软件供应链治理中很重要的基础数据,能够帮助企业实现依赖治理、漏洞管理和开源许可证合规。SBOM背后靠的是SCA知识库数据的支撑,想要充分发挥SBOM的作用,应该将生成工具和尽可能多的研发流程打通,做到实时更新SBOM清单,并和全面的知识库订阅数据进行实时动态关联。随着软件消费者会使用到各类供应商提供的软件产品,这些产品通常以二进制的形式交付,相比源码识别的效果覆盖率会更低,存在的风险更难识别。
如何建立开源战略
weixin_49715102的博客
08-29 182
阅读本文,您能了解到如何从零开始,一步步搭建符合自己公司发展的开源战略,解决使用开源代码可能带来的安全与合规问题。
UniSCA漏洞优先级排序
qzt961003的博客
01-04 645
如何有效地对漏洞进行优先排序?
RSAC创新沙盒十强出炉,这家SCA公司火了
QL_2023的博客
05-08 152
对于开发团队,可以协助做出更好的依赖引入选择,同时获得更合理的漏洞修复优先级,进而实现安全的无痛嵌入。在研发运营的整个周期中,有了这份透明化的资产清单,研发阶段可以及时替换安全版本的组件或修复漏洞,运营阶段新的漏洞爆发或出现新的利用方式时能够按图索骥,快速定位漏洞位置及影响范围,协助制定更高效合理的修复方案。依赖引入后,Endor Labs的工具会梳理代码中包含的所有的依赖情况并输出可视化的SBOM清单,同时会统计单个依赖被引入的次数,记录组织中最常用的依赖版本,便于减少依赖项的总量、控制依赖面。
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 3717
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目中存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目中使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境中的三方组件依赖资产,并有效管理。支持语言:目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...
软件工程毕业设计选题100例
HUXINY的博客
05-02 1097
学长搜集分享最新的软件工程业专业毕设选题,难度适中,适合作为毕业设计,大家参考。相对容易工作量标题目新颖。
软件开发标准流程与软件工程基本理论
minimonkey850122的博客
05-02 385
确定实现该软件系统的具体实现方案,确定具体实现的技术:编程语言、数据库、缓存系统、前端实现技术(WinForm或WPF或页面:前端样式、前端框架、前端脚本技术、前端样式、页面设计)、通信技术(前端和后台的交互:前后端分离、单应用系统,微服务等);生产环境部署:软件项目在用户生产环境部署,用户试运行,发现bug及缺陷、用户基于需求分析提出的问题,修复bug、修正缺陷、解决用户提出的问题完善软件项目系统。根据详细设计文档、需求分析文档,测试编码实现的软件项目,提交软件Bug并修正、测试,提交测试报告。
软件工程python论文毕设开题报告答疑
HUXINY的博客
04-29 530
🔥 这里是丹成学长,毕业季马上就要开始了,不少同学询问学长管理选题开题类的问题。今天跟大家分享信息安全毕设选题 ~最新的信息安全(网络安全)专业毕设选题,难度适中,适合作为毕业设计,大家参考。学长整理的题目标准:🧿 选题指导, 项目分享:见文末最近非常多的学弟学妹问学长关于选题的问题,所以今天学长来教大家如何进行毕业设计选题!毕业设计的选题尤为重要,选好题目是最终完成毕业设计的第一步。因为题目的选择跟之后的设计实现密不可分,如果你所选择的题目是你无法实现的,而且定题以后就不能修改了,这无疑会给你带来很大
软件工程物联网方向嵌入式系统复习笔记--嵌入式系统基础
liufang_imei的博客
04-29 664
美国WindRiver公司于1983年设计开发的一种实时操作系统VxWorks拥有良好的持续发展能力、高能的内核以及良好的用户开发环境VxWorks 以其良好的可靠和卓越的实时被广泛地应用在通信、军事、航空、航天等高精尖技术及实时要求极高的领域中VxWorks 是一个非常优秀的实时系统,它的缺点是价格昂贵。
20.安全测试与评估
shihao的博客
04-04 1350
每年都会涉及;可能会考大题;典型考点:sql注入、xss;从2个方面记:1、测试对象的功能、能;2、相关设备的工作原理;如防火墙,要了解防火墙的功能、工作原理;主要议题:基本安全策略、数据库、操作系统、安全日志考察较多;其他议题偶尔涉及;
infrared-remote-candroid studiodemo
最新发布
05-05
android studio下载
java可_可分析详解
05-14
Java可是指在Java程序中,一个对象是否可以被访问到(或者说使用)。可分析是指在Java虚拟机中,通过一系列的算法和规则来判断一个对象是否可。如果一个对象不可,那么它将被JVM的垃圾回收器回收。 Java可分析详解: 1. 根对象:Java虚拟机会从一组称为根对象的对象开始,进行可分析。根对象包括:虚拟机栈中引用的对象、方法区中类静态属引用的对象以及JNI(Java Native Interface)引用的对象。 2. 可对象:从根对象开始,Java虚拟机会遍历所有的引用链,标记所有可以被访问到的对象为可对象。可对象包括:被引用的对象、被引用对象的引用对象、被引用对象的引用对象的引用对象,以此类推。 3. 不可对象:如果一个对象没有被标记为可对象,那么它就是不可对象。不可对象可能是垃圾,需要被回收。 4. 垃圾回收:Java虚拟机的垃圾回收器负责回收不可对象。垃圾回收的过程包括标记、清除、压缩等操作。 总之,Java可分析是Java虚拟机的一个重要机制,它保证了Java程序的内存使用效率和安全。理解Java可分析的原理和过程,可以帮助Java开发者编写高效、稳定的程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值