SCA软件成分分析简析（一）

最新推荐文章于 2024-08-29 19:09:40 发布

程序员小肖

最新推荐文章于 2024-08-29 19:09:40 发布

阅读量842

点赞数 17

文章标签：安全 nginx 运维

本文链接：https://blog.csdn.net/qq_53058639/article/details/136488567

版权

本文介绍了SCA（SoftwareCompositionAnalysis），一种用于分析软件依赖项并检测漏洞的工具。文章探讨了国内开源技术趋势、企业需求、云原生环境下的挑战，以及SCA的主要功能，如漏洞管理、许可证识别和合规管理。同时，文章强调了SCA技术原理，包括其对二进制文件的分析方法和在DevSecOps中的重要性。

摘要由CSDN通过智能技术生成

一、概述

SCA全称 Software Compostition
Analysis，译为软件成分分析，即通过分析软件源码提取项目依赖的第三方组件及其版本、许可证、模块、框架和库等信息，生成软件物料清单（SBOM，Software
Bill-of-
Materials），根据SBOM分析项目是否使用了存在已知漏洞的组件，后期其它组件爆出漏洞时可根据SBOM快速排查受影响项目。解决针对开源软件的漏洞扫描、检测和管理问题。

二、概要分析

国内趋势

开源技术的应用极大的推动了大数据、云计算等各行业领域的快速发展。2021年3月12日,开源被明确列入《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。

需求分析

首先，在企业应用多语言软件开发过程中，引入的开源代码和组件可能会含有漏洞，企业需保证软件安全性。原本采用开源软件就是为了降本增效，避免软件厂商的束缚，若因安全问题导致损失则得不偿失。再者，开源社区大部分都没有管理开源软件项目流程，而是公开由参与者共同维护，及其容易被恶意利用。

云原生下，开源软件中的漏洞容易遭到利用，扩大攻击面至整个软件供应链组成部分，由此影响至其他应用此软件供应链的项目。随着DevSecOps发展，SCA也是CI/CD流水线集成必须应用的工具。

此外，有效避免还有数据泄漏、知识产权或法律纠纷。

难点分析
☆特征：对于二进制或者代码片段提取到的特征的检测，目前二进制SCA能力上还有待突破，代码级SCA国内已有多种选择；
漏报：例如很多时候待测程序没有直接使用log4j，但是log4j可能被其他组件间接调用，没有完整的调用链分析，导致SCA漏报；
误报：因为SCA本身基于漏洞库检测的机制，一旦有漏洞组件被引入项目，即使漏洞并未被触发，且某些漏洞有及其复杂的触发条件，SCA都会报告。但有组件有的时候不得不用，那就对SCA提出了新的要求：在客户环境中针对性判断漏洞是否会触发、触发条件、触发可能性、高中低危等；
策略配置：需要有综合性的因素来组织策略，如上所述，不能仅靠漏洞高中低级别来配置封禁策略；
实际落地：①SCA要高效衔接企业内部开发流程，不能影响原开发流程及计划

②大规模开源组件的使用管理，加大对安全部门的负荷

③检测报告需要全面，因为需面对不同专业对象

可用性分析

兼容性要求：SCA工具需较大的开发量实现语言种类的覆盖，需支持多格式语言源码/多格式二进制；比如说Java，GO、Python、NodeJs；对于以上几种语言，可以通过分析pom.xml、go.mod、requirements.txt、yarn.lock等文件中的关键字段实现软件成分分析；

漏洞关联要求：SCA的各种漏洞信息来自于多种渠道，包括：NVD, CNVD, CNNVD, SCMs（如Github, Gitlab,
Bitbucket等）, 还有来自流行库上的公共提交，如Bugzilla和Confluence等漏洞追踪器。还需关注漏洞信息更新的及时性，持续优化。

易用性要求：SCA需轻量化嵌入DevSecOps内，若能与黄金管道中的SAST/DAST/IAST测试过程集成，使得CI/CD更平滑，那么SCA的易用性是极高的；

三、主要功能

漏洞管理：首先SCA本身需要有漏洞及配置扫描的功能，且漏洞库是否完整（完整是一个相对概念，部分厂家维护着自己的漏洞库），识别出的开源组件指纹是否能与漏洞库进行关联。
开源组件/许可证识别及管理：主要的几种方式有，源码包管理器内的依赖配置文件、基于哈希指纹匹配C/C++代码、代码片段克隆扫描、二进制/APK扫描、容器扫描；
SBOM清单：通过SAC扫描生成，其中含基本信息：组件/库相关信息（名称、厂家、版本、许可证日期等）、漏洞信息（编号、类型、等级、影响组件修复建议等）、许可证信息（名称、链接、授权范围、合规性）
修复建议：因开发人员不是专门的安全人员，所以修复时需要有专业的建议；除了加速漏洞修复和应用上线时间外，参考建议可实现根级别修复，包括兼容性分析；

eg：log4j的真正漏洞代码出现在log4j-core的子组件。修复其他组件不一定能有效消除漏洞。很多产品都产生了误报的行为，让客户白忙一场。CNVD-2021-95914真实影响的是log4j-core这个组件，但由于log4j的<group_id>org.apache.logging.log4j</group_id>下有很多组件，如log4j-api,
log4j-slf4j-impl等。但市面上部分SCA系统中，部分厂商会错误的把单独出现的非log4j-core的组件，比如log4j-api标为有CNVD-2021-95914漏洞，这会给修复工作制造噪音。

5.合规管理：SCA自带许可和策略管理系统，可以基于扫描到的信息（例如：数据库使用年限、许可证使用限制条款等），匹配用户需求（阻止项目违规开发、提前进入修复进程），进行相应的策略配置；

四、技术原理

SCA 的目标是第三方基础组件/可执行程序/源代码等类型的以二进制形式存储的文件，包括但不限于源代码片段或 Package，可执行的二进制组件/程序，基础
lib，tar/tgz
压缩文件，镜像/镜像层，广义的软件构建过程等等。因此，所有以二进制形式存储的文件皆可以是其分析目标。通过对软件汇编代码指令、代码结构、控制流图、函数调用关系等特征值对比，分析出二进制代码成分以及代码之间的相似性。

SCA 的方法不局限于具体的软件开发语言技术栈，即不关注是 Java、Python、C/C++、Golang 或者是 Node，还是
Docker（OCI）Image
，或者是广义的构建过程，而是从文件层面关注目标的各组成文件本身，以及文件与文件之间的关联关系以及彼此组合成目标的过程细节。简而言之，SCA
是一种跨开发语言的二进制文件分析技术。

五、其他相关

1.SBOM释义

SBOM（Software Bill of Material，软件物料清单）的概念源自制造业，其中物料清单 BOM
是用来详细说明产品中包含的所有项目的清单。例如在汽车行业，制造商为每辆车提供一份详细的物料清单，列出原始设备制造商制造的部件以及来自第三方供应商的部件。当发现有缺陷的部件时，汽车制造商可以准确地知道哪些车辆受到影响，进而通知车主维修或更换。

SBOM作为软件供应链安全关键的落地治理条件之一，能够统一软件信息接口，对采购软件和自研软件风险评判进行标准统一。关于SBOM信息数据的组成，可通过安全检测工具链接实现，管理过程中必要的技术控制卡点。SBOM常规包含内容如下：

![](https://img-
blog.csdnimg.cn/img_convert/3c0cfccfa2f04b7eac8b49b0c7d223c8.png)

Refer

[https://blog.csdn.net/ubisectech/article/details/123506491?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-
task-
blog-2%7Edefault%7ECTRLIST%7ERate-2-123506491-blog-125990445.pc_relevant_3mothn_strategy_and_data_recovery&depth_1-utm_source=distribute.pc_relevant.none-
task-
blog-2%7Edefault%7ECTRLIST%7ERate-2-123506491-blog-125990445.pc_relevant_3mothn_strategy_and_data_recovery&utm_relevant_index=3](https://blog.csdn.net/ubisectech/article/details/123506491?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-
task-
blog-2%7Edefault%7ECTRLIST%7ERate-2-123506491-blog-125990445.pc_relevant_3mothn_strategy_and_data_recovery&depth_1-utm_source=distribute.pc_relevant.none-
task-
blog-2%7Edefault%7ECTRLIST%7ERate-2-123506491-blog-125990445.pc_relevant_3mothn_strategy_and_data_recovery&utm_relevant_index=3)

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。