「云原生安全既是一种全新安全理念,也是实现云战略的前提。
基于蚂蚁集团内部多年实践,云原生 PaaS 平台 SOFAStack 发布完整的软件供应链安全产品及解决方案,包括静态代码扫描 Pinpoint,软件成分分析 SCA,交互式安全测试 IAST,运行时防护RASP,安全洞察 Appinsight 等,帮助企业客户应用软件实现『发布前检测,运行时免疫』。
本周,我们将持续分享解读四大产品。」
近年来,软件供应链安全相关攻击事件呈快速增长态势,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。
针对开源组件风险发现场景,SCA 软件成分分析能有效软件结构并判断开源组件的风险,从而帮助开发人员和安全人员快速识别开源组件的风险,并将安全风险前置处理,实现软件供应链安全中的安全漏洞修复、开源风险规避等价值。
—
云原生时代,开源组件安全迎来新挑战
为提高开发效率、节约开发成本,企业在软件开发过程中引入的开源组件比例越来越高,而因此存在的开源组件安全隐患却未被重点关注。因此从开源软件治理层面出发,开源组件安全面临的挑战包括:
组件通用漏洞风险急剧上升。黑客组织逐渐将目标转移在开源软件上,可以轻易找到源代码漏洞从而入侵和攻击,危及响应系统或数据的完整性和机密性。据 Synopsis 相关数据统计,开源代码仓库中至少存在一个漏洞的仓库占整体开原仓库的比例已上升到了 84%。
开源软件许可证繁多且复杂。开发人员使用的开源软件许可证繁多难以一一维护,并且存在误使用黑客冒充的合法开源或系统组件名称的组件致使开发者无法识别,另外,违规使用开源软件也会造成许可证合规性风险。
组件过维护期或未更新。由于开发人员更侧重业务自身规划和版本改动频繁易引起兼容性问题,从而导致对于其使用的运行时版本、组件版本陈旧过维护期甚至从不升级。
堆积「技术债」问题。开发人员为加速业务开发,使用开源软件或其他方案,从而导致组件依赖过多、缺陷过多的「技术债」,反向阻碍产品演进。
软件开发人员安全意识淡薄。多数开发人员对代码安全质量重视程度不够,未遵守应用程序安全开发标准,同时其信息安全技术能力水平也是参差不齐的。
SCA 软件成分分析通过标准化工具,分析源代码识别引入的开源组件漏洞、许可证证书、开源协议等信息,帮助企业开发者深入掌握软件成分中潜在的安全问题。
一、灵活的扫描接入方式
在 SCA 建设阶段,对应用程序引入了哪些组件是企业最为重要的一步,SCA 面向不同场景提供不同接入方式,从信息安全视角摸排研发技术栈、流程链路,并做相应的数据卡点,完成相关风险数据的收集,协助企业盘点软件资产。
Air Gap 接入,不需要触碰代码。适合二进制代码静态分析和软件溯源分析场景,用户可审计所有外发内容,不会存在代码泄露的风险。
-
API 接入,授权访问私有源码。适合大部分代码分析场景,尤其是凯源代码的检测以及小规模试用场景,能直接生成完整的分析报告。
