国舜灰鸭SCA软件成分分析系统

背景

开源软件具有开放、共享、自由等特性，在软件开发中扮演着越来越重要的角色，也是软件供应链的重要组成部分。根据Gartner调查显示，99%的组织在其 IT系统中使用了开源软件。而来自Sonatype公司的一项调查则显示，在参与调查的3000家企业中，每年每家企业平均下载 5000个开源软件。 开源代码的使用大幅度提高软件研发效率、缩短上市时间、降低开发成本，但是开源软件中存在的大量缺陷、甚至安全漏洞也一并进入了软件部署包，为软件带来巨大的安全风险。 根据国外安全机构的调研报告显示，企业应用代码超过80%来自第三方资源库或第三方组件，97%的java程序至少存在1个已知安全漏洞，而由第三方代码缺陷导致的信息泄露漏洞占比高达72%。 而国内企业的应用系统也存在同样的问题，比如漏洞频发的Fastjson库，攻击者可利用其反序列化漏洞，远程命令执行入侵到企业服务器，通过服务器执行命令，危害性极大。类似的还有jackson、shiro、Struts2,、OpenSSL等。 为了解决这类开源软件的潜在安全风险，提高软件供应链安全的防护能力，SCA 工具正在成为应用程序安全的必备工具。国舜推出灰鸭SCA软件成分分析系统，为企业创造环境，通过代码扫描发现 OSS 的证据，及早发现漏洞和许可问题并降低修复成本，并允许自动扫描以更少的成本发现和修复问题。

简介

SCA 解决方案分为两大类： 1. 管理、安全、DevOps 和法律团队使用的治理解决方案提供对组织软件组合的完全可见性和控制。 2. 开发人员工具可帮助开发人员在拉取之前避免易受攻击的开源组件，并通过与本机开发环境集成的工具修复在其代码中检测到的任何漏洞。 国舜灰鸭SCA 解决方案同时提供治理和开发人员工具。这保证了每个人都能在需要的时间和地点获得所需的工具。

项目管理

项目管理模块可以对每个项目进行隔离，方便待检测应用在本系统中构建独立的检测任务，清晰反映出各项目迭代过程中组件安全问题的爆发和修复过程。 项目管理模块包含对项目新建、编辑、删除等操作，以及项目基础信息、检测清单、检测任务创建与跟踪、漏洞数据和组件数据的可视化分析呈现，让项目的管理人员能够方便的对项目进行操作，随时关注到项目的组件安全测试进度，了解测试的结果数据及数据分析的结果。支持项目上线前的回归测试，杜绝产品带病上线，整体评估项目安全性，帮助项目管理者把控项目整体的安全质量。

软件成分分析

软件成分分析模块可对软件源代码包、远程代码仓库等目标发起开源软件成分分析任务，扫描获取项目中所有引用到的第三方组件，将软件成分数据回传到软件成分风险分析引擎，对第三方组件的安全漏洞风险，开源许可证风险进行评估，并可视化展示。 帮助用户梳理项目中的第三方组件使用情况，针对第三方组件的风险，分为安全漏洞风险、开源许可证风险两类，帮助用户完全掌握第三方组件的安全风险，评估对第三方组件的修复方案。

结果查验分析

结果查验分析模块可对现有扫描结果进一步查验，查询对应的组件及漏洞在各项目中的分布情况。通过查验比对，可进一步降低安全组件漏洞风险、开源许可证风险的复现概率。

特点

1.依赖分析 与 Maven 等构建工具集成，用来追踪使用 Java语言构建的应用程序中声明的和间接引用的开源依赖项。 2.加密分析 将字符串、文件和目录信息等进行sha1加密，映射到知识库，以识别使用 Java 等语言构建的应用程序中的开源和第三方组件。 3.二进制分析 识别已编译的应用程序库和可执行文件中的开源组件，无需源代码或构建系统的权限。 4.开源许可证分析 将识别的组件映射到我们知识库中，识别已知开源组件许可协议，并标记具有未知许可证的组件。通过更深入地了解许可协议要求，降低知识产权的成本和风险。

创建准确的物料清单

物料清单将描述应用程序中包含的组件、所用组件的版本以及每个组件的许可证类型。可帮助安全专业人员和开发人员更好地了解应用程序中使用的组件，并深入了解潜在的安全和许可问题。

发现并跟踪所有开源

开源软件和许可证管理扫描工具发现源代码、二进制文件、构建依赖项、子组件以中使用的所有开源组件。

主动和持续监控

为了更好地管理工作负载并提高生产力，SCA 继续监控安全和漏洞问题，并允许用户针对当前和已发布产品中新发现的漏洞进行报警。

无缝集成到构建环境

在 DevOps 环境中集成，以便扫描代码并识别构建环境中的依赖项。

通过分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找。利用算法解决二进制代码端到端匹配问题，来实现全方位的开源代码溯源、开源许可证分析以及开源漏洞的检测。覆盖组件基本信息、开源许可证使用情况等信息，提升软件成分分析的检测水平。助力用户能够有足够细粒度的资产、风险透视能力、风险的主动识别能力、开源软件的基线检查能力。

已知漏洞

第三方组件中本身存在的漏洞，攻击者可以利用这些已知的漏洞，对应用系统进行攻击破坏。国舜灰鸭SCA可以发现这些隐藏在开源软件深层的安全漏洞，清楚软件中存在多少已知安全漏洞。

软件许可

分析调用的第三方组件的许可证类型。开源许可证有很多种，有的许可证对软件的使用方式几乎没有限制，有些存在限制性比较强的许可证，如果不小心调用，可能会带来较大的法律风险和知识产权的损失。国舜灰鸭SCA可以发现使用开源组件的许可协议，并进行风险提示，对许可协议相关风险及时处理。

恶意代码问题

开源组件中存在恶意代码，危害比较大。风险的来源主要是在非正规渠道获取被篡改的第三方组件，或使用了恶意开发者提供的第三方组件，未经确认就引入开发的业务系统中会带来极大风险。国舜灰鸭SCA通过二进制分析，对代码来源进行检测，及时发现被篡改组件，排除恶意代码风险。