之前的文章《Web安全之SAST和DAST(靜態和動態應用程序安全測試)詳解》講解了SAST和DAST,《Web安全之IAST(交互式應用程序安全測試)詳解》講解了IAST,本文再講解一個安全測試技術SCA。
什么是SCA?
SCA(Software Composition Analysis),軟件成分分析,是一種用于測試軟件組件的質量和可靠性的方法。通過對軟件組件進行詳細的分析,找出其中的缺陷和問題,以便在軟件發布之前進行修復。
當下軟件開發中,需要依賴大量的三方庫、組件,也會使用大量的開源代碼片段。例如容器化會使用開源的基礎鏡像或者商業公司維護的免費鏡像,數據庫可能會使用開源的MySQL、MongoDB、PostgreSQL等,代碼中會使用大量的三方包等等。所以依賴的三方庫和組件的安全威脅越來越大,這些安全威脅也被越來越多的企業所重視。使用SCA技術對應用程序進行安全檢測,是實現安全管理的方法之一。
SCA原理
SCA是一種通用的分析方法,可以對任何語言程開發的應用序進行分析。SCA分析過程一般是先對目標源代碼或二進制文件進行解壓,從解壓后的文件中提取特征并對特征進行識別和分析,獲取各個部分之間的關系,從而獲得應用程序的畫像(組件名稱、版本號、開發語言等),進而關聯出存在的已知漏洞。
小結
如果開發的應用程序中依賴了大量的三方庫和組件,使用SCA技術對應用程序進行安全檢測是最合適不過的。一般在軟件開發生命周期的早期階段做SCA,可以以較低成本發現和修復安全漏洞。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。