最近开发安全/软件供应链安全是海内外最火爆的细分领域之一,SCA的可达性分析更是多次被提及。借着这个机会,做一个基础知识的普及。一是鸿渐作为深耕代码安全领域的小公司,靠的是专业硬实力,秀一下。二是很多职能人员缺乏专业性、没有鉴别能力,什么是好的,什么是差的,完全辨别不了,盲从心理特别厉害;我们一直怀着感恩的心服务客户,相互尊重,相互成就,有责任和义务做个普及。三是号召更多的有为青年加入我们,踏踏实实做一款好用易用的代码安全产品。
01 分析目的
SCA工具基于代码(源代码、二进制代码)和构建文件(c语言的makefile文件、maven项目的pom.xml文件等)分析得到被测项目使用了哪些第三方组件,并关联得到这些组件包含的漏洞。问题在于,传统SCA工具仅分析组件和漏洞的存在性,并未分析组件是否被自研代码调用(组件可达性),漏洞是否会被自研代码触发(漏洞可达性),这造成了大量的误报。
2022年华中科技大学开展了一个大规模的实证研究,首次以漏洞代码的可达性的视角,分析了生态系统中漏洞对下游软件所造成的安全威胁,结果显示已有SCA工具的误报率