1.基本概念

软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力。

2.基本原理

SCA 的目标是第三方基础组件/可执行程序/源代码等类型的以二进制形式存储的文件,包括但不限于源代码片段或 Package,可执行的二进制组件/程序,基础 lib,tar/tgz 压缩文件,镜像/镜像层,广义的软件构建过程等等。因此,所有以二进制形式存储的文件皆可以是其分析目标。通过对软件汇编代码指令、代码结构、控制流图、函数调用关系等特征值对比,分析出二进制代码成分以及代码之间的相似性。

3.使用的技术

SCA 的方法不局限于具体的软件开发语言技术栈,即不关注是 Java、Python、C/C++、Golang 或者是 Node,还是 Docker(OCI)Image ,或者是广义的构建过程,而是从文件层面关注目标的各组成文件本身,以及文件与文件之间的关联关系以及彼此组合成目标的过程细节。简而言之,SCA 是一种跨开发语言的二进制文件分析技术。

4.关键评估指标

SCA关键评估指标,包括:

1) 是否具备漏洞和配置扫描功能

2) 能否将开源组件指纹与CVE漏洞信息库关联

3) 能否与SAST/DAST/IAST扫描集成

5.国内外相关产品

5.1国内主要厂商信息概览

国内厂商包括∶中科天齐、北大库博、泛联新安、开源网安、啄木鸟、默安科技、悬镜安全、海云安、思客云、鸿渐科技、棱镜七彩。这些厂商都有自己的核心产品,其中背靠中科院计算技术研究所、北大、国防科技大学的中科天齐、北大库博和泛联新安在人才储备、研发实力和产品全面性方面都有着不俗的表现,并且都能满足关键评估指标。

5.2外国头部厂商信息概览

国外头部厂商包括∶Synopsys、Veracode、Checkmarx、HCL software、Micro Focus、Rapid7、Contrast Security、WhiteHat Security。这些头部厂商基本上是"一站式"供应者,提供工具种类比较齐全,每个厂商都有各个擅长的领域,并且在领域内有"拳头"产品。

什么是SCA(软件成分分析)相关推荐

  1. SCA软件成分分析 简析(一)

    一.概述 SCA全称 Software Compostition Analysis,译为软件成分分析,即通过分析软件源码提取项目依赖的第三方组件及其版本.许可证.模块.框架和库等信息,生成软件物料清单 ...

  2. 从开源组件安全看SCA软件成分分析技术

    1.基本概念 软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别.分析和追踪的技术.专门用于分析开发人员使用的各种源码.模块.框架和 ...

  3. 漫谈SCA(软件成分分析)测试技术:原理、工具与准确性

    本文分享自华为云社区<漫谈SCA测试技术(一)>,原文作者:安全技术猿 . 1.什么是SCA SCA(Software Composition Analysis)软件成分分析,通俗的理解就 ...

  4. 北大软件“软件成分分析与漏洞检测工具”(CoBOT—SCA)正式发布

    根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件.第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源 ...

  5. 软件成分分析(SCA)详述

    一.SCA是什么? 今天的软件开发普遍遵循敏捷实践,发布和部署周期都很短这导致开发团队非常依赖开源来加速创新迭代速度.因此,对团队项目中包含的每个开源组件进行跟踪非常重要,这样可以避免法律不合规的风险 ...

  6. SCA(软件成分分析)中的知识图谱技术

    在开源广泛使用的今天,如何解决开源组件中潜在的风险问题也被众多企业提上了日程.开源风险包括漏洞风险,许可证风险等等,现在一般的解决方法是使用SCA工具. SCA工具最基础的检测能力就是对开源组件中的依 ...

  7. 浅谈软件成分分析(SCA)在企业开发安全建设中的落地思路

    前言 开源软件具有开放.共享.自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分.根据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件.而来自Sonatyp ...

  8. 什么是软件成分分析(SCA)安全测试技术

    [摘要] 本文介绍了SCA技术的基本原理.应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势:让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问 ...

  9. SCA-Soft Composition Analysis软件成分分析

    1. 概述 目前 SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现.但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP ...

最新文章

  1. linux下的二进制文件的编辑和查看 -
  2. 网银无法登录解决办法
  3. 虚拟机(VMware Workstation)中,把连接网络的模式由“NAT模式”,改成“自动桥接模式”,网速大大的提升...
  4. Chess DP 思维题
  5. Linux上层应用--Shell scripts基础规范
  6. 【sklearn第二十讲】聚类
  7. 「代码随想录」123.买卖股票的最佳时机III【动态规划】力扣详解!
  8. HTML5+Activex+Singr+ABP+MongoDB
  9. pthread 立即停止线程_pthread_create线程终止问题
  10. java程序员必备快捷键
  11. RecyclerView的横向展示、item滑动居中
  12. 本地连接服务器无响应怎么解决办法,本地连接的服务器未响应
  13. nu.xom:Serializer
  14. 一个由三角形引出的乘积恒等式
  15. Java PPT转PDF 亲测无水印
  16. 内存优化(一)浅谈内存优化
  17. Latex里一些特殊的数学符号
  18. HTML——微信浏览器H5页面调用微信扫一扫
  19. OC / Swift / Xcode - 怎么私有化init 方法(禁止调用init方法生成对象)
  20. web测试 (四)兼容性测试

热门文章

  1. Win10系统安装office2021LSTC专业增强版和Visio2021专业版
  2. web/app测试用例全
  3. python教程菜鸟教程学习路线
  4. Spring-Cloud-Gateway 源码解析-转自芋道源码
  5. 153是移动还是联通
  6. 二分法排序_二分法排序算法
  7. 【北邮国院大三下】Cybersecurity Law 网络安全法 Week1【更新Topic4, 5】
  8. Linux驱动——platform设备驱动实验
  9. Windows无法连接SENS服务请求解决办法
  10. sotre react