大家或許都發(fā)現(xiàn)了，開發(fā)人員愈發(fā)依賴開源代碼來快速為其專有軟件添加功能。據(jù)估計，開源代碼占專有應用程序代碼庫的 60-80%。相伴而來的，除了更高的效率，還有更高的風險。因此，管理開源代碼對于降低組織的安全風險至關重要。那么，如何管理開源代碼呢？軟件成分分析（SCA）又是如何管理開源代碼的呢？

文章速覽：

什么是軟件成分分析？

軟件成分分析要求

為什么SCA應該成為應用程序安全產(chǎn)品組合的一部分

如何選擇合適的軟件成分分析工具?

一、什么是軟件成分分析？

軟件成分分析(SCA)是應用程序安全測試(AST)工具市場的一部分，可用于管理開源組件。SCA工具對應用程序的代碼庫（包括容器和注冊表等相關部分）執(zhí)行自動掃描，以識別所有開源組件、許可證合規(guī)性數(shù)據(jù)以及任何安全漏洞。除了提供開源使用的可視性，一些SCA工具還可以通過優(yōu)先級劃分和自動修復來幫助修復開源漏洞。

1.生成組件清單

SCA工具通常從掃描開始，生成產(chǎn)品中所有開源組件的清單報告，包括所有直接和間接依賴關系。掌握所有開源組件的詳細清單是管理開源使用的基礎。畢竟，如果不知道自己正在使用哪些組件，你很難確保其安全性或合規(guī)性。

2.確保許可合規(guī)性

一旦確定了所有開源組件，SCA工具就會提供有關每個組件的信息，包括歸屬要求以及該許可證是否符合你所在組織的政策。

3.識別安全漏洞

軟件組合分析工具的主要功能之一是識別有已知漏洞的開源組件。好的SCA解決方案不僅揭示哪些開源庫存在已知漏洞，還會讓你知道代碼是否調(diào)用受影響的庫，并做修復建議，以及識別代碼庫中需要更新或修補的開源庫。

4.使用SCA可以發(fā)現(xiàn)的漏洞類型

當代碼存在缺陷或弱點時，通常會出現(xiàn)開源漏洞。這些可能是計劃外的編碼錯誤，也可能是被蓄意插入代碼中的。攻擊者可以利用這些漏洞未經(jīng)授權地訪問系統(tǒng)、竊取數(shù)據(jù)和對軟件或系統(tǒng)造成損壞。舊軟件或未更新的當前軟件版本也可能導致漏洞。這些可能會導致安全漏洞，攻擊者可以利用這些漏洞滲透你的代碼并竊取敏感和有價值的數(shù)據(jù)，例如，這些數(shù)據(jù)可以被禁用和勒索。

5.高級SCA功能

高級SCA解決方案還包括自動策略執(zhí)行功能，它將代碼中找到的每個開源組件與組織策略交叉引用，并觸發(fā)不同的響應，例如啟動自動審批工作流程或使編譯構建。

高級SCA解決方案可自動執(zhí)行開源選擇、審批和跟蹤的整個過程。有些解決方案甚至能在提出拉取請求和組件進入系統(tǒng)之前，提醒開發(fā)人員注意組件中的漏洞。這為開發(fā)人員節(jié)省了寶貴的時間，并提高了他們的準確性。

6.SCA的局限性

SCA專注于識別和修復開源組件和第三方依賴項中的風險。它并不是為了查找自定義（原始）代碼中的漏洞而設計的。例如，SCA無法緩解SolarWinds供應鏈漏洞，因為SolarWinds的源代碼是專有的。要掃描和修復專有代碼，請使用SAST（靜態(tài)應用程序安全測試）。SCA也不會檢測不安全的網(wǎng)絡配置。

舊的SCA解決方案并非旨在掃描開發(fā)和部署環(huán)境，因此它們無法保護軟件開發(fā)生命周期(SDLC) 的后期部分。一些舊的SCA工具無法提供準確評估任何問題的風險影響所需的背景。這些工具可能會產(chǎn)生太多誤報，從而消耗有限的資源。注意：更新、更現(xiàn)代的SCA解決方案已經(jīng)通過優(yōu)先級功能解決了這一挑戰(zhàn)，因此請確保選擇可以做到這一點的解決方案。

7.軟件成分分析的演變

第一款開源手動掃描儀于2002年左右發(fā)布。盡管提高了企業(yè)代碼庫的可見性，但這種早期技術的誤報率很高，需要人工干預，無法滿足敏捷開發(fā)環(huán)境的需求。

到2011年，該技術已得到改進，能夠實時自動檢測漏洞和許可問題。這使得軟件和安全團隊能夠在開發(fā)周期的早期部署開源管理。同時，SCA 解決方案還與存儲庫、構建工具、包管理器和 CI 服務器等軟件開發(fā)工具集成，這將開源管理和安全性的力量交給了開發(fā)人員。盡管取得了這些進步，SCA 仍然非常注重檢測。

8.新興技術對SCA的影響

越來越多的源代碼、組件和依賴項被用來創(chuàng)建新的軟件和應用程序。據(jù)廣泛估計，一些組織多達90%的源代碼現(xiàn)在都是開源的，這意味著潛在的攻擊面已經(jīng)并將繼續(xù)擴大。這增加了開源漏洞的風險，以及惡意軟件包滲透和攻擊軟件和應用程序的威脅。因此，SCA的需求變得越來越重要。

9.SCA在軟件開發(fā)中的未來

開發(fā)人員、DevOps和DevSecOps團隊現(xiàn)在的任務是在SDLC早期掃描、識別和修復開源漏洞。他們正在將安全任務轉移到更早地處理和修復問題上，而不是等到軟件準備投入生產(chǎn)或發(fā)貨時才去處理和修復。

在開發(fā)過程中還有一種更新的趨勢，即“智能轉移”，它鼓勵團隊采用靈活的掃描和修復流程，快速、輕松地修復SDLC中的代碼，并在現(xiàn)有的開發(fā)人員工作流程中完成。現(xiàn)代SCA解決方案可以做到這一點，還能確定漏洞的優(yōu)先級，并識別出可以安全忽略的漏洞。這使得現(xiàn)代SCA成為任何強大應用安全策略的核心。

10.檢測還不夠

檢測只是第一步，它無助于企業(yè)降低風險，缺少補救措施的檢測是不完整的應用安全模式。

因此，企業(yè)必須采用成熟的SCA安全模式，在檢測的基礎上進行優(yōu)先級劃分和修復，這樣開發(fā)人員和安全專業(yè)人員就能專注于更有價值的事情。

11.優(yōu)先順序和補救措施

現(xiàn)代SCA解決方案將檢測和修復緊密聯(lián)系在了一起。

優(yōu)先排序

成熟的軟件成分分析工具應包含優(yōu)先處理開源漏洞的技術。通過自動識別風險最大的安全漏洞，企業(yè)可以首先解決這些漏洞。開發(fā)人員和安全專業(yè)人員就不用浪費時間和資源，在成頁的警報中尋找最重要的漏洞，從而避免在生產(chǎn)系統(tǒng)中運行極易被利用的漏洞。

補救

自動修復漏洞不僅僅是向開發(fā)人員顯示漏洞的位置，還能提出修復建議，并提供數(shù)據(jù)說明修復可能對構建產(chǎn)生的影響。可以根據(jù)漏洞檢測、漏洞嚴重性、CVSS評分或更新版本發(fā)布時觸發(fā)的安全漏洞策略啟動自動修復工作流程。最可靠的風險緩解策略之一是持續(xù)為開源組件打補丁，以避免暴露于已知漏洞。一個好的SCA解決方案可以實現(xiàn)這一目標。

先進的SCA工具（包括repo、瀏覽器和IDE成）可無縫集成到軟件開發(fā)生命周期（SDLC）中，以便在漏洞修復更容易、成本更低時及早解決。

二、軟件成分分析要求

1.綜合數(shù)據(jù)庫

數(shù)據(jù)庫是任何SCA解決方案的核心。數(shù)據(jù)庫越全面，匯聚了多個來源的數(shù)據(jù)，就越能更好地識別開源組件和安全漏洞。如果沒有一個全面、持續(xù)更新的數(shù)據(jù)庫，就無法檢測到正確版本的開源組件，從而無法更新許可證、修復安全漏洞以及應用更新和補丁。開源社區(qū)高度分散。因為沒有一個集中的更新或補丁信息源，所以一切都要依靠數(shù)據(jù)庫。

2.廣泛的語言支持

SCA解決方案不僅應支持當前使用的語言，還應支持未來一兩年內(nèi)可能考慮使用的任何語言。沒人希望在實施SCA解決方案后，卻發(fā)現(xiàn)它不支持一年后最新項目的語言。所以，未雨綢繆，選擇支持多種語言的解決方案。

3.廣泛的報告

從庫存、許可、歸屬和盡職調(diào)查報告到漏洞和高嚴重性錯誤報告，解決方案應能提供適合各種使用情況的各種報告工具，包括管理、法律、安全、DevOps和DevSecOps。

4.強有力的政策

選擇具有自動策略的解決方案，這些策略既強大又高度靈活，而且可以定義企業(yè)自己的獨特需求?？?strong>自動執(zhí)行開源選擇、審批、跟蹤和補救流程的策略可節(jié)省開發(fā)人員的時間，并大大提高他們的準確性。

5.漏洞優(yōu)先級排序和修復

如前所述，一個能優(yōu)先處理安全漏洞并提供修復建議的解決方案是很有必要的。自動化程度越高，就越容易在不降低開發(fā)速度的情況下首先解決最關鍵的問題。

6.雙重治理和開發(fā)人員關注

SCA解決方案分為兩大類——提供管理工具和提供開發(fā)人員工具。

管理、安全、DevOps和法律團隊使用的治理解決方案，可提供對組織軟件組合的全面可見性和控制。

開發(fā)人員工具可幫助開發(fā)人員在避免拉取易受攻擊的開源組件，并通過與本機開發(fā)環(huán)境集成的工具修復代碼中檢測到的任何漏洞。

最好的SCA解決方案同時提供管理和開發(fā)人員工具，這保證了每個人都能在需要的時間和地點獲得所需的工具。

7.與DevOps管道集成

在SDLC的每個階段，選擇能與各種開發(fā)人員環(huán)境無縫集成的SCA解決方案，如資源庫、構建工具、軟件包管理器和CI服務器，這樣開發(fā)人員就能在提出拉取請求之前，決定是否可以或應該使用開源組件。

8.容器/Kubernetes

容器和Kubernetes的使用很廣泛，但安全性仍然是一個挑戰(zhàn)。選擇一個SCA解決方案，從容器化環(huán)境內(nèi)部掃描開源組件，識別漏洞或合規(guī)性問題并自動執(zhí)行策略。此外，還要確保解決方案對您的特定容器注冊表提供本機支持。

三、軟件成分分析要求

開源組件已成為各行各業(yè)軟件應用程序的主要組成部分。然而，盡管對開放源碼的依賴程度很高，但仍有太多企業(yè)在確保其開放源碼組件符合基本安全標準和許可要求方面較為松懈。有了正確的軟件成分分析解決方案，就能離降低開源風險更近一步。

1.監(jiān)管合規(guī)要求概述

目前，各國政府發(fā)揮著更加積極的作用，推出了企業(yè)必須遵守的新網(wǎng)絡安全戰(zhàn)略。這些建議和戰(zhàn)略要求供應商承擔更多責任，提高代碼庫、軟件、應用組件和依賴關系的可見性，以及更嚴格的合規(guī)性.

2.SCA如何幫助實現(xiàn)合規(guī)性

SCA專注于掃描、檢測和修復開放源代碼中的漏洞，包括識別和修復不符合許可要求的組件和依賴關系。通過查找此類問題和符合許可條件的版本，SCA可以幫助確保您的代碼庫是最新的，完全符合許可條件。

3.軟件成分分析的好處

提高安全性。SCA的具體目的是掃描您的開源軟件、組件和依賴關系，識別漏洞，并使用現(xiàn)代SCA工具自動修復這些漏洞。如果充分利用這些功能，SCA必將提高應用程序的安全性。

節(jié)約成本。手動識別和修復開源漏洞需要大量資源，遺漏漏洞會對開發(fā)和創(chuàng)新速度產(chǎn)生不利影響。這代價高昂。SCA加快了這一過程并使之自動化，減輕了開發(fā)人員和DevOps團隊的負擔，使安全實施成本更低，更徹底。

提高效率。現(xiàn)代SCA工具專門用于加速和自動化檢測和修復過程。因此，它們能讓整個過程變得更簡單、更快捷。此外，它們還能優(yōu)先處理漏洞，這意味著誤報結果會大大減少，團隊修復無關問題的時間也會大大減少。

提高了開發(fā)人員的工作效率。速度、效率和自動化將開發(fā)人員從耗時的開源掃描和安全防護任務中解放出來。現(xiàn)在，他們可以比以往任何時候都更高效地完成這項任務，而且在開發(fā)工作流程中完成這項任務時，整個過程可以做到無縫銜接，從而最大限度地減少對開發(fā)工作的干擾。有了SCA，開發(fā)人員可以確保代碼庫的安全性，同時還能保持和提高生產(chǎn)力。

四、如何選擇合適的軟件成分分析工具?

你應該選擇一種既能滿足您的需求，又盡可能簡單易用、不具干擾性的SCA工具。

確保選擇的工具對開發(fā)人員友好。該工具最好能在開發(fā)人員現(xiàn)有的工作流程中運行，這樣他們就不必退出開發(fā)環(huán)境來實施安全功能，也不需要他們學習全新的軟件。為此，它應無縫集成到現(xiàn)有軟件和開發(fā)環(huán)境中。

SCA工具不僅要進行簡單的掃描，還應對軟件組件及其依賴關系進行全面分析。它應能在特定項目和工作范圍內(nèi)優(yōu)先處理需要您關注的風險較高的漏洞。它應該提供清晰、全面的報告，這些報告將成為高質量治理和控制的基石，它還應該能夠快速、輕松地修復漏洞。理想情況下，這一流程將是自動化和可擴展的，這樣您的SCA功能就能隨著您的代碼庫以及軟件和應用程序范圍的擴大而增長?，F(xiàn)在，它應該是云本地的。

虹科通過創(chuàng)新幫助客戶成功，是您優(yōu)選的解決方案合作伙伴。虹科艾特保IT憑借深厚的行業(yè)經(jīng)驗和技術積累，近幾年來與世界行業(yè)內(nèi)頂級供應商Morphisec，DataLocker，Lepide，SecurityScorecard，veracode，Mend，Onekey，Allegro，Profitap，Apposite等建立了緊密的合作關系，提供包括網(wǎng)絡全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡安全評級，網(wǎng)絡仿真，軟固件安全分析等行業(yè)領先解決方案。讓網(wǎng)絡安全更簡單！