软件组成分析包括许可证合规分析、安全漏洞分析、技术时效性分析等。一个典型的业务应用可包含200到300个开源组件,在分析应用内部关联性、识别隐藏风险方面,常面临复杂性挑战。CAST Highlight开源软件关联性浏览器,以视觉化的方式,直观互动地进行软件组成分析。
开源分析如同大海捞针
一个典型的业务应用可包含200到300个开源组件,每个组件本身又有约60个关联项。因此,在信息安全团队的眼中,评估应用开源风险的难度如同大海捞针。
传统做法是编辑一个“软件清单”(SBOM)并定期审查——即创建一个Excel表,在表格中编辑大串组件列表,该组件列表中包括已发布的“公共漏洞和暴露”(CVE)和可能存在风险的许可证信息。这一做法虽常见,但人工审查维护大量数据繁琐费力且缺乏互动。
采用“数据可视化”的方法,日均可审查多达10个“软件清单”(SBOM),在消化数据时更为高效省力:
- 检测深度恶意节点模块中的“公共漏洞和暴露”(CVE),该漏洞能使整个应用处于危险状态;
- 隔离关联链中的许可证兼容性问题;
- 为开发团队提供真实准确的组件分析数据,以便正确升级组件,减少因过时或不成熟的关联性而导致的技术淘汰;
- 引导产品团队进行适当的、系统性的代码库关联性管理,而非鲁莽引入GitHub 内容。
通过“数据可视化”,用户能够更方便地查看自身数据,轻松识别并降低风险。
如何使用开源软件关联性浏览器?
在CAST Highlight中,单击“浏览关联性”按钮,展开一个以应用