国内外软件成分分析SCA产品评测
1. 概述
SCA理论上来说是一种通用的分析方法,可以对任何开发语言对象进行分析,Java、C/C++、Golang、Python、JavaScript等等,它对关注的对象是从文件层面的文件内容,以及文件与文件之间的关联关系以及彼此组合成目标的过程细节。从SCA 分析的目标程序形式上分,既可以是源代码也可以是编译出来的各种类型的二进制文件,分析的数据对象对程序架构,编译方式都是不敏感的,比如:类名称、方法/函数名称、常量字符串等等,不管目标程序运行在x86平台还是ARM平台,不管是windows程序还是Linux程序,都是一样的,简而言之SCA 是一种跨开发语言的应用程序分析技术。
SCA分析过程:首先对目标源代码或二进制文件进行解压,并从文件中提取特征,再对特征进行识别和分析,获得各个部分的关系,从而获得应用程序的画像—–组件名称+版本号,进而关联出存在的已知漏洞清单。
由于SCA分析过程中不需要把目标程序运行起来,因此具有分析过程对外部依赖少,分析全面,快捷、效率高的优点。
2. 国内主要厂商信息概览
国内厂商包括∶中科天齐、北大库博、泛联新安、开源网安、啄木鸟、默安科技、悬镜安全、海云安、思客云、鸿渐科技、棱镜七彩。
公司名称 |
成立时间 |
主要产品 |
公司特点 |
中科天齐 |
2018 |
自定义语言漏洞管理平台/SAST/IAST/SCA/日志分析 |
背靠中科院,产品实力较强 |
啄木鸟 |
2013 |
SAST、DAST、IAST、SCA、软件开发安全检测平台 |
产品性能不错,少数愿意提供定制化服务的厂商 |
泛联新安 |
2017 |
SAST、DAST、IAST、SCA、Interrupt Safe、InterfaTest、Fuzz、VHawk、ChipDevTurbo |
背靠国防科技大学,产品覆盖软件安全、测试和EDA工具,研发能力强 |
北大库博 |
2000 |
源代码检测(SAST、DAST、IAST、SCA)、大数据分析、智能应用产品 |
背靠北大,产品实力较强 |
鸿渐科技 |
2020 |
SAST(核心)、SCA |
核心成员来自北大,产品实力较强,主要针对高端用户市场,拿单能力强 |
思客云 |
2016 |
SAST、DAST、SCA |
创始人团队主要自来惠普公司旗下Fortify公司 |
海云安 |
2015 |
SAST、DAST、IAST、SCA、软件开发安全检测平台 |
DAST产品在移动APP上的测试性能不错,是公司核心之一 |
开源网安 |
2013 |
SAST、IAST、SCA、Fuzz、Rasp、S-SDLC平台 |
产品线比较全面 |
棱镜七彩 |
2016 |
SAST、SCA(核心) |
主要做开源软件漏洞检测,核心产品为SCA,已与相关检测机构达成合作 |
默安科技 |
2016 |
SAST、IAST、SCA、威胁建模、蜜罐 |
主打IAST产品 |
悬镜安全 |
2014 |
IAST、Al智能渗透测试、威胁管控平台、Rasp、SDL平台 |
主打IAST产品 |
3. 外国头部厂商信息概览
国外头部厂商包括∶Synopsys、Veracode、Checkmarx、HCL software、Micro Focus、Rapid7、Contrast Security、WhiteHat Security。
公司名称 |
成立时间 |
主要产品 |
目标市场 |
公司特点 |
Synopsys platform |
1999 |
SAST、DASTIAST、SCA |
北美,全球性公司 |
·Seeker agent 在IAST广泛使用,支持语言广泛并具备良好集成性 · 提供了完整的工具链,具备广泛的场景适应性,支持模糊测试 · loT AST 领先 |
Veracode |
2006 |
SAST、DAST、IAST、SCA、MAST、RASP |
北美,欧洲 |
· 全面的AST提供商,广泛的编成语言覆盖,容易部署和使用 · 不提供AST工具本地安装仅提供云端服务 |
Checkmarx |
2006 |
SAST、SCA、DAST、IAST、Codebashing(training).In-workflow trainging |
北美,欧洲,亚太 |
· 较强的SAST技术,广泛的语言支持 · 完整的SDLC集成 · DAST仅支持服务方式提供 |
Contrast Security platform |
2014 |
IAST(Contrast Assess))、SCA、RASP、集中管理控制台(Contrast TeamServer)、API security、 comliance、auto pen testing、application Security Monitoring |
北美,欧洲,亚太 |
· IAST产品较强·不支持客户端漏洞发现 · 不提供传统的SAST/DAST |
Micro Focus (合并了fortify) |
1976 |
SAST、DAST、IAST、SCAMAST、RASP、IDE Security plug-in |
全球市场,特别是北美,欧洲,亚太 |
· 有完整的SDLC集成 · 广泛的语言支持,支持复杂的场景的部署 ·IAST 作为DAST的附件而不是独立的产品 |
WhiteHat Security |
2001 |
SAST、DAST、SCA |
北美 |
· 完全自动化的SAST,但对语言支持有限 · 不提供专门的IAST |
IBM(HCL) |
1911 |
SAST、DAST、SCA、IAST、MST、RASP |
全球市场 |
·移动支持包含SAST/DAST/AST · IAST作为DAST的附加,不是独立的产品 · ICA SCA只支持 saas模式 |
4. 业界SCA工具分析
根据Forrester最新SCA报告,Forrester通过10个维度对不同工具进行打分:
TOP 10 SCA工具中有5款支持软件包开源软件SCA检查能力(synopsys/ Sonatype/ Veracode/ Jfrog/ GitLab),其他工具只支持源代码SCA检查能力。
5款支持软件包SCA检查工具中,对C/C++、Java、.Net语言支持的比较好,但对Golang、python、JavaScript语言支持能力偏弱,比如:synopsys支持的组件对象中前面3种语言占大头90%+,相应的检测率也高,而Golang语言的组件检出率则低很多。
5. 总结
国外SCA头部厂商基本上是"一站式"供应者,提供工具种类比较齐全,每个厂商都有各个擅长的领域,并且在领域内有"拳头"产品。
国内虽然还没有专业的评测机构对市面上的SCA产品做专业的评测,但是根据各个厂家对外宣称的产品信息,不管是源代码文件的SCA检测工具还是二进制文件的SCA检测工具,种类还是比较齐全。这些国内厂商都有自己的核心产品,其中背靠中科院计算技术研究所、北大、国防科技大学的中科天齐、北大库博和泛联新安在人才储备、研发实力和产品全面性方面都有着不俗的表现。
目前SCA工具检测开源软件的已知漏洞是基于组件名称+版本号来关联出已知漏洞的,对部分编译场景(只有部分组件代码被编译到二进制文件中)和patch打补丁场景(漏洞已修复),误报率高。现在SCA已从主要用作对开源软件的检测向应用程序的典型编码问题检测趋势扩展,比如Veracode工具,它能提供了对诸如缓冲器溢出、命令行注入、死锁、重复释放、整形数溢出、UAF、格式化字符串漏洞,SQL注入等典型编码问题的检测能力。
国内外软件成分分析SCA产品评测相关推荐
- 什么是软件成分分析(SCA)安全测试技术
[摘要] 本文介绍了SCA技术的基本原理.应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势:让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问 ...
- 什么是SCA(软件成分分析)
1.基本概念 软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别.分析和追踪的技术.专门用于分析开发人员使用的各种源码.模块.框架和 ...
- 从开源组件安全看SCA软件成分分析技术
1.基本概念 软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别.分析和追踪的技术.专门用于分析开发人员使用的各种源码.模块.框架和 ...
- 软件成分分析技术介绍
软件成分分析技术介绍 1.关于软件成分分析 SCA,Software Composition Analysis,软件成本分析是一种对二进制软件的组成部分进行识别.分析和追踪的技术.在开源软件日益盛行的 ...
- SCA-Soft Composition Analysis软件成分分析
1. 概述 目前 SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现.但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP ...
- 漫谈SCA(软件成分分析)测试技术:原理、工具与准确性
本文分享自华为云社区<漫谈SCA测试技术(一)>,原文作者:安全技术猿 . 1.什么是SCA SCA(Software Composition Analysis)软件成分分析,通俗的理解就 ...
- SCA软件成分分析 简析(一)
一.概述 SCA全称 Software Compostition Analysis,译为软件成分分析,即通过分析软件源码提取项目依赖的第三方组件及其版本.许可证.模块.框架和库等信息,生成软件物料清单 ...
- 浅谈软件成分分析(SCA)在企业开发安全建设中的落地思路
前言 开源软件具有开放.共享.自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分.根据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件.而来自Sonatyp ...
- 北大软件“软件成分分析与漏洞检测工具”(CoBOT—SCA)正式发布
根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件.第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源 ...
最新文章
- 理论计算机科学中最令人困惑的谜题之一被解开
- 如何彻底解决安装Windows漏洞补丁出现蓝屏或无法启动问题?
- 【Paper】2009_Controllability of Multi-Agent Systems from a Graph-Theoretic Perspective 精炼版
- Redis AOF 全持久化
- Excahnge 2010断开连接的邮箱无法找到
- 机器学习:利用卷积神经网络实现图像风格迁移 (一)
- 一道丧心病狂的java面试题
- linux 文件的压缩和打包
- 一个阿里产品经理眼中的“垃圾分类”
- 重磅官宣:腾讯宣布再投500亿元助力共同富裕
- [Python笔记]第一篇:基础知识
- serialize java_java serialize 浅谈
- JS学习总结(12)——Math对象/时间对象
- 【电路仿真】基于matlab BP神经网络三相逆变器故障诊断【含Matlab源码 1655期】
- 如何用Python脚本从文件读取数据?
- html5 扩展 cs6,Dreamweaver CS6提高了HTML5工具的效率
- HTML5视频自动循环播放
- EXCEL按内容引用其他表数据
- 数字电路基础_门电路
- 智慧物流:RFID智能仓储物流管理-RFID仓库管理解决方案-新导智能