从开源组件安全看SCA软件成分分析技术

已于 2022-03-17 08:34:24 修改
阅读量1w 收藏 5
点赞数 2
分类专栏: 软件供应链安全 文章标签: 安全 测试工具 安全性测试 java
于 2022-03-15 16:58:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ubisectech/article/details/123506491
版权

1.基本概念

软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力。

2.基本原理

SCA 的目标是第三方基础组件/可执行程序/源代码等类型的以二进制形式存储的文件,包括但不限于源代码片段或 Package,可执行的二进制组件/程序,基础 lib,tar/tgz 压缩文件,镜像/镜像层,广义的软件构建过程等等。因此,所有以二进制形式存储的文件皆可以是其分

最低0.47元/天 解锁文章
ValiantSec
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
开源组件分析工具OpenSCA教程
m0_65355570的博客
07-15 4159
OpenSCA 是一款开源软件成分分析工具,用来扫描项目的第三方组件依赖及漏洞信息。
软件成分分析(SCA)详述
qzt961003的博客
07-26 1534
SCA是什么?SCA的分类?SCA的分级?SCA的流程?怎么选择SCA工具?
SCA软件成分分析 简析(一)
最新发布
m0_59598029的博客
04-19 1555
SCA全称 Software CompostitionAnalysis,译为软件成分分析,即通过分析软件源码提取项目依赖的第三方组件及其版本、许可证、模块、框架和库等信息,生成软件物料清单(SBOM,SoftwareBill-of-Materials),根据SBOM分析项目是否使用了存在已知漏洞的组件,后期其它组件爆出漏洞时可根据SBOM快速排查受影响项目。解决针对开源软件的漏洞扫描、检测和管理问题。
SCA-Soft Composition Analysis软件成分分析
qinh123的博客
06-11 2368
1. 概述 目前 SCA软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现。但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP(运行时应用安全保护);2017年时侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析;2018年继续强调针对开源软件软件成份分析软件成分分析(SCA,Software Composition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 3930
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目中存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目中使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境中的三方组件依赖资产,并有效管理。支持语言:目前支持 JavaJavaScript、Golang 、Python 语言项目的检测...
国内外软件成分分析SCA产品评测
m0_50579386的博客
03-15 4407
国外SCA头部厂商基本上是"一站式"供应者,提供工具种类比较齐全,每个厂商都有各个擅长的领域,并且在领域内有"拳头"产品。 国内虽然还没有专业的评测机构对市面上的SCA产品做专业的评测,但国内厂商都有自己的核心产品,其中背靠中科院计算技术研究所、北大、国防科技大学的中科天齐、北大库博和泛联新安在人才储备、研发实力和产品全面性方面都有着不俗的表现。
SCA组件
husheng8891的专栏
04-17 815
在SCA模型中,组件是业务功能的基本元素,通过构件被组合成为完整的商业解决方案。 组件有四个部分组成:实现,服务,引用,属性。 一个组件有一个实现和若干服务,应用以及属性引用。
B端常用9大开源组件库集合(必备收藏)
aimeeth的博客
08-09 2404
而当业务演进到 “平台化、垂直市场、采购市场” 阶段时,UI 也面对了更多的问题和挑战:“周期性业务的品牌更新”,“不同品牌的多种垂直业务同期构建”,“众多相似的后台系统构建”,“跨业务/部门的设计、前端协作问题”。按照设计团队的描述,其也是从腾讯繁杂的业务中寻找共性,抽取出普适的通用设计解决方案,为产品赋能。同时,2021年推出的B端组件库,如ArcoDesgin、SemiDesgin、TDesgin,虽然其样式更美观,生态更健全,也未必会是产品研发团队的首选。...
vulnerability-assessment-tool是一个软件组合分析SCA工具
08-08
vulnerability-assessment-tool 是一个软件组合分析(SCA)工具,它扫描 Java 和 Python 应用软件包中的直接依赖项和间接依赖项,检测出已知漏洞。
资源|一个Python特征选择工具,助力实现高效机器学习
weixin_34008933的博客
07-08 241
文章最后有免费的Python资料,获取方式,关注头条号,私信回复资料获取下载链接。资料目录在文章底部,欢迎评论转发收藏下载。鉴于特征选择在机器学习过程中的重要性,数据科学家 William Koehrsen 近日在 GitHub 上公布了一个特征选择器 Python 类,帮助研究者更高效地完成特征选择。本文是 Koehrsen 写的项目介绍及案例演示文章。项目地址:https://github.c...
一款好用的国产软件源代码缺陷分析平台 — CodeSense
ubisectech的博客
03-17 3600
采用业界先进的值流图分析技术,能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析,精准的检测软件安全漏洞与质量缺陷,结合独有的智慧减负与黑白名单技术,服务于安全部门或研发团队。
泛联新安:冲破“门槛”助力科技自立自强
ubisectech的博客
11-18 318
在不久前举办的2022世界互联网大会上,泛联新安作为从事基础软件工具自主创新研发型企业,参展“互联网之光”博览会。
如何应对开源组件⻛险?软件成分安全分析(SCA)能力的建设与演进
美团技术团队
05-26 2130
总第511篇2022年 第028篇随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇。目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面安全部门需要投入更多的精力。但由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件、这些开源组件可能存在哪些严重的安全隐患...
软件成分分析在开发安全中的价值
Anprou的博客
04-22 516
据 WhiteSource 的报告显示,2015年和 2016年,每年开源安全漏洞的数量不超过 2000,但是在 2017年和 2018年,开源安全漏洞的数量一路飙升,超过4000, 2019年,开源安全的漏洞超过6000个,突破历史记录。 然而,在当今复杂而多变的商业环境中,业务团队无法接受速度的迟滞,在研发效率和编码速度的考量下,几乎所有的软件应用都基于第三方的组件开源代码、通用函数库实现。随之而来又经常被忽视的是:绝大多数应用程序都包含开源组件风险。根据行业公司的调查报告,超过70%的应用在初步检
国产自主“软件定义”框架——openSCA核心框架永久开源
qk0923-小鸟工作室
06-21 1825
一、什么是openSCA(openSCA不局限于无线电) SCA软件通信体系结构),起源于海湾战争之后的五角大楼,为了解决美国军方和北约各国多达上百种军用无线电设备之间的信息互通问题。它就像是给来自不同厂家的、不同型号的设备安装了一套类似“安卓”的操作系统,而那个时候,还没有“安卓”。 “软件定义”的概念从此兴起,来自不同领域的系统集成商们,越来越倾向于使用一套框架(或者有些领域被称之为...
开源协议概述和SCA解决方案
qzt961003的博客
06-29 297
开源协议概述:什么是开源协议?开源协议的类型?常用的开源协议有哪些?他们有什么异同?怎么用SCA工具规避开源风险?国产本地化SCA工具,CodeAnt开发安全平台
开源的方式做开源风险治理 | 全球首款企业级 SCA 技术即将开源
热门推荐
Anprou的博客
12-03 1万+
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值