國舜灰鴨SCA軟件成分分析系統

背景

開源軟件具有開放、共享、自由等特性，在軟件開發中扮演著越來越重要的角色，也是軟件供應鏈的重要組成部分。根據Gartner調查顯示，99%的組織在其 IT系統中使用了開源軟件。而來自Sonatype公司的一項調查則顯示，在參與調查的3000家企業中，每年每家企業平均下載 5000個開源軟件。 開源代碼的使用大幅度提高軟件研發效率、縮短上市時間、降低開發成本，但是開源軟件中存在的大量缺陷、甚至安全漏洞也一并進入了軟件部署包，為軟件帶來巨大的安全風險。 根據國外安全機構的調研報告顯示，企業應用代碼超過80%來自第三方資源庫或第三方組件，97%的java程序至少存在1個已知安全漏洞，而由第三方代碼缺陷導致的信息泄露漏洞占比高達72%。 而國內企業的應用系統也存在同樣的問題，比如漏洞頻發的Fastjson庫，攻擊者可利用其反序列化漏洞，遠程命令執行入侵到企業服務器，通過服務器執行命令，危害性極大。類似的還有jackson、shiro、Struts2,、OpenSSL等。 為了解決這類開源軟件的潛在安全風險，提高軟件供應鏈安全的防護能力，SCA 工具正在成為應用程序安全的必備工具。國舜推出灰鴨SCA軟件成分分析系統，為企業創造環境，通過代碼掃描發現 OSS 的證據，及早發現漏洞和許可問題并降低修復成本，并允許自動掃描以更少的成本發現和修復問題。

簡介

SCA 解決方案分為兩大類： 1. 管理、安全、DevOps 和法律團隊使用的治理解決方案提供對組織軟件組合的完全可見性和控制。 2. 開發人員工具可幫助開發人員在拉取之前避免易受攻擊的開源組件，并通過與本機開發環境集成的工具修復在其代碼中檢測到的任何漏洞。 國舜灰鴨SCA 解決方案同時提供治理和開發人員工具。這保證了每個人都能在需要的時間和地點獲得所需的工具。

項目管理

項目管理模塊可以對每個項目進行隔離，方便待檢測應用在本系統中構建獨立的檢測任務，清晰反映出各項目迭代過程中組件安全問題的爆發和修復過程。 項目管理模塊包含對項目新建、編輯、刪除等操作，以及項目基礎信息、檢測清單、檢測任務創建與跟蹤、漏洞數據和組件數據的可視化分析呈現，讓項目的管理人員能夠方便的對項目進行操作，隨時關注到項目的組件安全測試進度，了解測試的結果數據及數據分析的結果。支持項目上線前的回歸測試，杜絕產品帶病上線，整體評估項目安全性，幫助項目管理者把控項目整體的安全質量。

軟件成分分析

軟件成分分析模塊可對軟件源代碼包、遠程代碼倉庫等目標發起開源軟件成分分析任務，掃描獲取項目中所有引用到的第三方組件，將軟件成分數據回傳到軟件成分風險分析引擎，對第三方組件的安全漏洞風險，開源許可證風險進行評估，并可視化展示。 幫助用戶梳理項目中的第三方組件使用情況，針對第三方組件的風險，分為安全漏洞風險、開源許可證風險兩類，幫助用戶完全掌握第三方組件的安全風險，評估對第三方組件的修復方案。

結果查驗分析

結果查驗分析模塊可對現有掃描結果進一步查驗，查詢對應的組件及漏洞在各項目中的分布情況。通過查驗比對，可進一步降低安全組件漏洞風險、開源許可證風險的復現概率。

特點

1.依賴分析 與 Maven 等構建工具集成，用來追蹤使用 Java語言構建的應用程序中聲明的和間接引用的開源依賴項。 2.加密分析 將字符串、文件和目錄信息等進行sha1加密，映射到知識庫，以識別使用 Java 等語言構建的應用程序中的開源和第三方組件。 3.二進制分析 識別已編譯的應用程序庫和可執行文件中的開源組件，無需源代碼或構建系統的權限。 4.開源許可證分析 將識別的組件映射到我們知識庫中，識別已知開源組件許可協議，并標記具有未知許可證的組件。通過更深入地了解許可協議要求，降低知識產權的成本和風險。

創建準確的物料清單

物料清單將描述應用程序中包含的組件、所用組件的版本以及每個組件的許可證類型?？蓭椭踩珜I人員和開發人員更好地了解應用程序中使用的組件，并深入了解潛在的安全和許可問題。

發現并跟蹤所有開源

開源軟件和許可證管理掃描工具發現源代碼、二進制文件、構建依賴項、子組件以中使用的所有開源組件。

主動和持續監控

為了更好地管理工作負載并提高生產力，SCA 繼續監控安全和漏洞問題，并允許用戶針對當前和已發布產品中新發現的漏洞進行報警。

無縫集成到構建環境

在 DevOps 環境中集成，以便掃描代碼并識別構建環境中的依賴項。

通過分析引擎對源代碼進行靜態的分析和檢測，分析的過程中與其特有的軟件安全漏洞規則集進行全面地匹配、查找。利用算法解決二進制代碼端到端匹配問題，來實現全方位的開源代碼溯源、開源許可證分析以及開源漏洞的檢測。覆蓋組件基本信息、開源許可證使用情況等信息，提升軟件成分分析的檢測水平。助力用戶能夠有足夠細粒度的資產、風險透視能力、風險的主動識別能力、開源軟件的基線檢查能力。

已知漏洞

第三方組件中本身存在的漏洞，攻擊者可以利用這些已知的漏洞，對應用系統進行攻擊破壞。國舜灰鴨SCA可以發現這些隱藏在開源軟件深層的安全漏洞，清楚軟件中存在多少已知安全漏洞。

軟件許可

分析調用的第三方組件的許可證類型。開源許可證有很多種，有的許可證對軟件的使用方式幾乎沒有限制，有些存在限制性比較強的許可證，如果不小心調用，可能會帶來較大的法律風險和知識產權的損失。國舜灰鴨SCA可以發現使用開源組件的許可協議，并進行風險提示，對許可協議相關風險及時處理。

惡意代碼問題

開源組件中存在惡意代碼，危害比較大。風險的來源主要是在非正規渠道獲取被篡改的第三方組件，或使用了惡意開發者提供的第三方組件，未經確認就引入開發的業務系統中會帶來極大風險。國舜灰鴨SCA通過二進制分析，對代碼來源進行檢測，及時發現被篡改組件，排除惡意代碼風險。