在創(chuàng)建、測(cè)試和部署軟件時(shí),許多開發(fā)公司現(xiàn)在使用專有軟件和開源軟件(OSS)。
專有軟件,也稱為封閉源代碼或非自由軟件,包括發(fā)布者或其他人保留修改、使用或共享修改的許可權(quán)利的應(yīng)用程序。示例包括 Adobe Flash Player、AdobePhotoshop、macOS、MicrosoftWindows 和 iTunes。
相比之下,OSS授予用戶使用、更改、研究軟件及其源代碼并將其分發(fā)給互聯(lián)網(wǎng)上任何人的能力。因此,任何人都可以參與軟件的開發(fā)。示例包括MongoDB、LibreOffice、ApacheHTTP Server 和 GNU/Linux操作系統(tǒng)。
這意味著許多組織正在為其OSS 使用第三方代碼和模塊。雖然這些添加對(duì)許多應(yīng)用程序來說非常有用,但它們也會(huì)使組織面臨風(fēng)險(xiǎn)。根據(jù) Revenera 的2022 年軟件供應(yīng)鏈狀況報(bào)告,64%的組織受到 OSS依賴項(xiàng)漏洞引起的軟件供應(yīng)鏈攻擊的影響。
盡管OSS 會(huì)使組織面臨風(fēng)險(xiǎn),但避免OSS 軟件和依賴項(xiàng)是不切實(shí)際的。OSS 軟件和依賴項(xiàng)現(xiàn)在在開發(fā)中扮演著不可或缺的角色。對(duì)于 JavaScript、Ruby和 PHP應(yīng)用程序框架尤其如此,它們傾向于使用多個(gè)OSS 組件。
由于軟件公司實(shí)際上無法避免使用OSS,因此網(wǎng)絡(luò)安全團(tuán)隊(duì)必須通過使用軟件組合分析(SCA) 工具來避免與OSS 相關(guān)的漏洞。此外,他們需要將 SCA 與靜態(tài)應(yīng)用程序安全測(cè)試(SAST) 相結(jié)合,因?yàn)檫€使用了Microsoft Windows 和Adobe Acrobat 等專有軟件。
什么是SAST?
SAST是一種代碼掃描程序,可審查專有代碼和應(yīng)用程序源中的網(wǎng)絡(luò)安全弱點(diǎn)和錯(cuò)誤。SAST 也稱為白盒測(cè)試,被認(rèn)為是一種靜態(tài)方法,因?yàn)樗诓贿\(yùn)行應(yīng)用程序本身的情況下分析代碼。由于它只逐行讀取代碼而不執(zhí)行程序,SAST平臺(tái)在消除軟件產(chǎn)品開發(fā)生命周期(SDLC) 每一頁的安全漏洞方面非常有效,尤其是在開發(fā)的前幾個(gè)階段。
具體來說,SAST程序可以幫助團(tuán)隊(duì):
查找常見漏洞,例如緩沖區(qū)溢出、跨站點(diǎn)腳本和SQL 注入
驗(yàn)證開發(fā)團(tuán)隊(duì)是否符合開發(fā)標(biāo)準(zhǔn)
根除供應(yīng)鏈攻擊等蓄意違規(guī)行為
在代碼投入生產(chǎn)并制造漏洞之前發(fā)現(xiàn)弱點(diǎn)
掃描開發(fā)團(tuán)隊(duì)不知道的專有軟件錯(cuò)誤的所有可能狀態(tài)和路徑
通過在 SDLC的早期減少問題來實(shí)施主動(dòng)安全方法
SAST 在軟件開發(fā)中扮演著不可或缺的角色。通過在開發(fā)團(tuán)隊(duì)編寫代碼時(shí)向他們提供實(shí)時(shí)反饋,SAST可以幫助團(tuán)隊(duì)在進(jìn)入SDLC 的下一階段之前解決問題并消除問題。這可以防止錯(cuò)誤和漏洞累積。
什么是 SCA?
SCA 是一種代碼分析工具,可檢查源代碼、程序包管理器、容器映像、二進(jìn)制文件,并將它們列在稱為物料清單(BOM) 的已知漏洞清單中。然后,該軟件將 BOM與包含常見和已知漏洞信息的數(shù)據(jù)庫進(jìn)行比較,例如美國國家漏洞數(shù)據(jù)庫(NVD)。這種比較使網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠發(fā)現(xiàn)關(guān)鍵的法律和安全漏洞并修復(fù)它們。
一些 SCA工具還可以比較它們的已知漏洞清單,以發(fā)現(xiàn)與開源代碼相關(guān)的許可證。尖端的 SCA 還可能能夠:
分析整體代碼質(zhì)量(即貢獻(xiàn)歷史和版本控制)
自動(dòng)化使用 OSS模塊的整個(gè)過程,包括根據(jù)需要選擇和阻止它們進(jìn)入IT 環(huán)境
針對(duì)組織部署應(yīng)用程序后報(bào)告的漏洞提供持續(xù)警報(bào)和監(jiān)控
檢測(cè)并映射無法通過其他工具發(fā)現(xiàn)的已知OSS 漏洞
通過識(shí)別開源包中的許可證,映射與OSS 依賴項(xiàng)相關(guān)的法律合規(guī)風(fēng)險(xiǎn)
監(jiān)控新漏洞
每個(gè)軟件開發(fā)組織都應(yīng)該考慮獲得SCA 以實(shí)現(xiàn)法律和安全合規(guī)性。SCA 安全、可靠且高效,使團(tuán)隊(duì)只需單擊幾下鼠標(biāo)即可跟蹤開源代碼。如果沒有 SCA,團(tuán)隊(duì)需要手動(dòng)跟蹤開源代碼,由于OSS 依賴項(xiàng)的數(shù)量驚人,這幾乎是不可能的。
審核編輯 :李倩
-
開源軟件
+關(guān)注
關(guān)注
0文章
212瀏覽量
16203 -
操作系統(tǒng)
+關(guān)注
關(guān)注
37文章
7097瀏覽量
124987 -
SCA
+關(guān)注
關(guān)注
1文章
37瀏覽量
12122
原文標(biāo)題:kiuwan:結(jié)合SAST 和 SCA工具(上)
文章出處:【微信號(hào):哲想軟件,微信公眾號(hào):哲想軟件】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
求一個(gè)SCA100t d02傳感器或者SCA60C的ad轉(zhuǎn)換電路,
SCA平臺(tái)ARM組件的設(shè)計(jì)
SCA體系結(jié)構(gòu)中ARM組件的設(shè)計(jì)

基于ZedBoard的SCA架構(gòu)的設(shè)計(jì)原理

基于源碼的二進(jìn)制SCA特征生成技術(shù)

源代碼與二進(jìn)制文件SCA檢測(cè)原理
如何使用SAST和SCA緩解漏洞
怎樣使用Kiuwan保護(hù)Android應(yīng)用程序呢?
ChatGPTScan-SAST安裝與使用

White Source SAST—信息安全測(cè)試工具

一種SCA波形庫遠(yuǎn)程管理和SCA波形遠(yuǎn)程加載運(yùn)行的技術(shù)方案

基于SCA的軟件無線電系統(tǒng)的概念與架構(gòu)

評(píng)論