开源组件安全面对安全左移带来的挑战研究

最新推荐文章于 2024-04-17 18:30:00 发布
最新推荐文章于 2024-04-17 18:30:00 发布
阅读量127 收藏
点赞数
分类专栏: 人工智能与智能系统专栏 文章标签: 开源 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70923796/article/details/128914471
版权
本文研究了安全左移条件下的开源组件安全,通过软件成分分析(SCA)方法检测误差,分析不同安全左移场景下组件和漏洞分析的准确性。实验表明,二进制SCA与编译SCA的重合度不足60%,基于BOM的SCA精确度和召回率均较高,而源码不编译方式在组件精确度上较低,但漏洞检测指标较高。安全左移对二进制制品检测和无法编译的源码安全测试精确度提出挑战,强调了安全左移的重要性及其对开源组件安全的潜在影响。
摘要由CSDN通过智能技术生成

摘要

目前,很多软件由共享的开源组件组成,一旦某个组件出现安全问题,将造成重大影响。为了解在安全左移条件下通过软件成分分析(SCA)方法得到的开源组件安全状况误差及其产生的原因,梳理开源组件安全测试在安全左移中的常见场景,并基于此构建测试用例。选择蜕变测试方法,使用SCA工具进行安全测试并统计分析。实验结果显示,二进制SCA和编译SCA重叠部分数据占比不超过60%。基于BOM的SCA中以编译方式执行检测BOM结果的精确度、召回率等指标在大部分情况下均超过90%;源码不编译方式SCA相较于编译方式的检测结果中组件的精确度、召回率等指标均在40%左右,但关于漏洞检测与解决的相关指标在90%左右。软件供应链的二进制制品检测与源代码处于无法编译状况下的安全左移场景检测结果精确度不足,而对于BOM文件的安全测试结果有效可靠。

0 引言

为节约成本、提高开发效率,大量开源组件被引入到在企业软件开发过程中&#x

了解本专栏 订阅专栏 解锁全文 超级会员免费看
米朵儿技术屋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
墨菲安全旗下开源组件安全检测产品murphysec
04-11
墨菲安全 是一家为您提供专业的软件供应链安全管理的科技公司,能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。 公司核心团队...
第三方组件安全评估指南
weixin_61856963的博客
07-19 1109
持续构建物料清单为每个应用程序持续构建详细的软件材料清单,从而全面洞察每个应用软件的组件情况。如果存在无法验证来源的开源组件,则不允许使用。强化软件供应链通过强化软件供应链来降低安全风险。这包括检查内部和外部源代码、支持脚本、配置文件和其他工件,并创建可信开源组件的内部存储库。而对外部存储库的使用要合理管理。风险管理通过制定策略确定可接受的开源组件、对在代码中发现漏洞或受限软件许可的合理响应,来管理风险。
SCA——开源安全威胁一网打尽
andre1918的博客
01-10 387
SCA是一项通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。软件成分分析是任何安全开发生命周期的标准基本部分,及时发现问题可以降低成本,提高敏捷性,使软件更安全,并帮助开发团队学会将安全性纳入其规划和设计决策中,对于维护软件安全起到了重要作用。
推荐11款开源自动化安全测试实用工具
OKCRoss的博客
03-30 815
它的功能非常丰富,包括深度检查数百种协议、实时捕获及离线分析、三窗格数据包浏览器、支持多平台、可通过GUI或TTY模式的TShark实用工具来浏览捕获网络数据等,可以让用户查看网络的详细情况,是众多商业及非营利企业、政府部门以及教育机构所采用的一种事实上的标准工具。企业要选择适合自身的安全测试工具,需要评估工具在易于实施、自动化程度、消除误报、与现有安全工具的兼容性、结果和报告的清晰度和全面性、良好的支持和完备的技术文档6个方面的得分。Jok3r的说明文档尚在完善中,但模块组合使其成为一款强大的工具。
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 4036
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目中存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目中使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境中的三方组件依赖资产,并有效管理。支持语言:目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...
这款牛逼的开源安全工具让我这个运维也变成“安全专家”
murphysec的博客
03-24 425
非常感谢用户水妖的内容投稿! 背景 我是一家互联网公司的 DevOps 工程师,平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏洞检测工具结缘,主要是因为前段时间log4j2 的漏洞,最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏洞,我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏洞,比如 log4j2 或者 fastjson 类似这样的问题。 经过一番调研,公司刚好有几个研发正在用墨菲安全的IDE插件,我看他也有一个命令行的工具,可.
基于开源治理的PaaS组件安全体系建设.pdf
03-21
基于开源治理的PaaS组件安全体系建设是指在PaaS平台上构建一个安全组件生态系统,通过开源治理来确保PaaS组件安全性和可靠性。本文将从PaaS组件安全体系的构建、开源治理、安全检测、漏洞修复、安全专家团队建设...
2019年开源代码安全和风险分析.pdf
06-08
Synopsys提供的Black Duck®解决方案,基于Black Duck KnowledgeBase™——这是一个包含最全面的开源组件、漏洞和许可信息的数据库,为组织提供了管理使用开源代码所带来的风险所需的洞察力。Black Duck的软件组成...
开源软件安全实践与思考.pdf
08-08
开源软件版本的多样性和复杂性也给固件的安全维护带来挑战。 在企业开源软件安全治理实践方面,奇安信为包括微软、Cisco、Adobe在内的多家知名厂商和开源组织提供了漏洞修复服务。这些厂商和组织利用奇安信提供的...
产品开源组件清单.xlsx
12-06
产品开源组件清单
开源组件安全风险及应对
最新发布
ZL_1618的博客
04-17 994
在软件开发的过程中,为了提升开发效率、软件质量和稳定性,并降低开发成本,使用开源组件是开发人员的不二选择(实际上,所有软件开发技术的演进都是为了能够更短时间、更低成本地构建软件)。这里的开源组件指的是以开源许可证发布的软件组件、库、框架和工具等,组件的源代码是公开的,而根据不同的许可协议,版权所有者可以授予用户使用、研究、更改和分发软件及其源代码的权力。
软件安全测试:安全左移的痛点与要点
起码有故事
08-09 749
软件开发安全,是网络安全行业近年想积极探索的技术领域,虽然这个技术领域已经存在了将近20年时间,但是直到2020年2月的RSAC大会,开发安全才真正成为网络安全行业的关注热点。同样,2019年12月1日正式实施的《网络安全等级保护条例2.0版》也给软件开发安全领域注入了一针“强心剂”,业界和政策对“安全左移”和DevSecOps的空前重视让无数网络安全从业者看到了新的机会。 笔者团队通过对软件开发安全的认知和对软件安全测试的摸索,并结合行业主流的软件安全测试技术进行了实践。本文根据笔者团队的实践经验为大家分
开源组件安全看SCA软件成分分析技术
热门推荐
ubisectech的博客
03-15 1万+
开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力
解读 | Synopsys发布2024年开源安全和风险分析报告OSSRA
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-15 2094
软件供应链管理中,许可证和安全合规性至关重要。开源组件和库可降低风险,但需了解许可证内容。Synopsys 2023年审计发现,超过一半的代码库存在许可证冲突。MIT许可证是最常用的宽松许可证,但也与其他许可证存在不兼容风险。
项目2、开源组件安全检测
抛砖引玉
02-23 664
开源安全组件概况: 致命、高危、中危、低危 总组件数,已打标组件数 已检测工程、用户数 已检测组件、检测次数 安全检测列表 新建检测任务 根据项目名称搜索项目信息
开源组件安全漏洞检测主流工具对比
manok的专栏
12-25 9213
下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到...
开源组件漏洞检测工具之 ide 插件 by 大龙
murphysec的博客
08-09 1439
完成测试后,推荐了所有前后端开发人员安装【MurphySec】,有错必纠,有洞必修,完整覆盖公司所有项目,且由技术客服人员统一收集整理邮箱收到的安全报告,进行半月一次的集中评估与修正。了解该工具在开发阶段就可以对使用的各技术栈的开源组件进行安全检测,且对每个单体项目单独存储安全报告,一切问题在开发阶段进行评估,诊断,修复,且发布后可监控定期收安全报告,正好满足需求,一切都变得顺利。在找解决方案的阶段,无意间在xxxx了解到了墨菲安全的检测工具,ide插件的检测对研发同学也非常友好。.........
中国电信上海研究院构建基于开源治理的PaaS组件安全体系
这些开源组件在提高效率的同时,也带来安全性和质量控制的挑战。 问题思考的核心围绕着开源软件的来源安全性、质量管理、以及如何通过代码审查来确保使用的开源软件合规和安全。特别是针对Log4J这样的重大漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

米朵儿技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值