0x01 基本概念
以前做渗透时候不知道有SCA这个东西,SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。感觉确实是devsecops的概念重新带火了这个,我理解这个东西主要是防止许可证冲突问题和防御供应链攻击。
0x02 阅读文章
一开始读的是e1knot师傅的软件成分安全分析(SCA)能力的建设与演进https://zhuanlan.zhihu.com/p/504972171
这篇写的我觉得真的很棒,是真切从甲方安全从业人员视角出发,提出了很多很好的问题
看到的一些还不错的中文文章,增加一些理解
悬镜在先知社区发的几篇文章(以前做渗透,所以觉得先知发出来的文章质量一般还不错就点进去了)
https://xz.aliyun.com/t/11952
后面是发现华为云专区的几篇 关于二进制文件检测
漏洞检测方法如何选?详解源代码与二进制SCA检测原理
https://developer.huawei.com/consumer/cn/forum/topic/0201742789249330371?fid=0101592429757310384
带你掌握二进制SCA检测工具的短板及应对措施
https://developer.huawei.com/consumer/cn/forum/topic/0202759845559860992?fid=0101592429757310384
二进制SCA指纹提取黑科技:Go语言逆向技术
https://developer.huawei.com/consumer/cn/forum/topic/0203938855954100038?fid=0101592429757310384
Linux内核漏洞精准检测如何做?SCA工具不能只在软件层面
https://developer.huawei.com/consumer/cn/forum/topic/0204708848562780253?fid=0101592429757310384
后面就是阅读几家厂商的白皮书…
0x03 源码阅读
大致了解了下就去读了悬镜的Opensca源码,发现是go写的,还在阅读中,做完了大致的分析脑图后面在细化,悬镜企业版貌似是可以做应用运行时检测的,悬镜产品宣传做的真不错
https://gitee.com/XmirrorSecurity/OpenSCA-cli?_from=gitee_search
读完源码后下一步计划去看看国外的文章和工具,这一块还是国外能力比较强,国产的工具入选Gartner的好像只有默安的雳鉴,看过多家厂商调研对比的一些参数,对比之下也不是很明白为什么只有它能入选,可能我还是了解太浅了
0x04 思考ing
这几天的学习理解,觉得选型中一些要考虑的问题:
1对二进制文件检测能力强不强(这个要看企业类型)
2检测开源许可证冲突的能力怎么样
3对语言的支持度广不广或者说广度能够覆盖企业当下以及未来的技术栈
4工具升级是否方便,升级的一个频率是不是既不快也不慢
5集成进CI/CD能力怎么样,未来或现在能不能适配开发人员IDE
6需不需要支持运行时检测(看到一些文章写到有些IAST集成了一部分SCA的能力)
7部署方式符不符合企业架构,单机部署还是分布式
8报告导出是否支持sbom
9提到了手动接口补充,是看到e1knot文章里的这样一段:受限于供应链攻击的多种多样和发展,所以不可能考虑的面面俱到,所以仍旧需要手动接口补充需要运营的风险。但安全团队仍希望将手动录入的风险占全部风险的比例,控制到一个合理的范围,保证这部分能力不会因为运营人员的问题(如经验不足、离职等)而导致能力的闪崩性缺失。
慢慢记录补充学习过程…
1399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
