漫談軟件成分分析(SCA)安全測(cè)試技術(shù)

1 、什么是SCA

SCA（Software Composition Analysis）軟件成分分析，通俗的理解就是通過(guò)分析軟件包含的一些信息和特征來(lái)實(shí)現(xiàn)對(duì)該軟件的識(shí)別、管理、追蹤的技術(shù)。我們知道在當(dāng)今軟件開發(fā)中，引入開源軟件( 注1 )到你的項(xiàng)目中，避免重復(fù)造輪子是大家都再熟悉不過(guò)的了，比如開源庫(kù)中開源軟件按每年21%速度在增長(zhǎng)( 來(lái)源Forrester報(bào)告 )，開源安全威脅成為企業(yè)組織無(wú)法回避的話題，而應(yīng)用SCA技術(shù)對(duì)應(yīng)用程序進(jìn)行安全檢測(cè)，實(shí)現(xiàn)安全管理是最行之有效的方法之一。

2、基本原理

1. SCA理論上來(lái)說(shuō)是一種通用的分析方法，可以對(duì)任何開發(fā)語(yǔ)言對(duì)象進(jìn)行分析，Java、C/C++、Golang、Python、JavaScript等等，它對(duì)關(guān)注的對(duì)象是從文件層面的文件內(nèi)容，以及文件與文件之間的關(guān)聯(lián)關(guān)系以及彼此組合成目標(biāo)的過(guò)程細(xì)節(jié)。從SCA 分析的目標(biāo)程序形式上分，既可以是源代碼也可以是編譯出來(lái)的各種類型的二進(jìn)制文件，分析的數(shù)據(jù)對(duì)象對(duì)程序架構(gòu)，編譯方式都是不敏感的，比如：類名稱、方法/函數(shù)名稱、常量字符串等等，不管目標(biāo)程序運(yùn)行在x86平臺(tái)還是ARM平臺(tái)，不管是windows程序還是Linux程序，都是一樣的，簡(jiǎn)而言之SCA 是一種跨開發(fā)語(yǔ)言的應(yīng)用程序分析技術(shù)。
2. SCA分析過(guò)程：首先對(duì)目標(biāo)源代碼或二進(jìn)制文件進(jìn)行解壓，并從文件中提取特征，再對(duì)特征進(jìn)行識(shí)別和分析，獲得各個(gè)部分的關(guān)系，從而獲得應(yīng)用程序的畫像—–組件名稱+版本號(hào)，進(jìn)而關(guān)聯(lián)出存在的已知漏洞清單。
3. 由于SCA分析過(guò)程中不需要把目標(biāo)程序運(yùn)行起來(lái)，因此具有分析過(guò)程對(duì)外部依賴少，分析全面，快捷、效率高的優(yōu)點(diǎn)；

3、業(yè)界TOP SCA工具分析

根據(jù)Forrester最新SCA報(bào)告，F(xiàn)orrester通過(guò)10個(gè)維度(注3)對(duì)不同工具進(jìn)行打分，最后根據(jù)綜合得分評(píng)選出如下業(yè)界TOP 10 SCA工具魔力象限圖)：

注：圖片和數(shù)據(jù)引用來(lái)自Forrester報(bào)告

3.1工具概覽分析

1. TOP 10 SCA工具中有5款支持軟件包(注2)開源軟件SCA檢查能力(synopsys/Sonatype/Veracode/Jfrog/GitLab)，其他工具只支持源代碼SCA檢查能力。
2. 5款支持軟件包SCA檢查工具中，對(duì)C/C++、Java、.Net語(yǔ)言支持的比較好，但對(duì)Golang、python、JavaScript語(yǔ)言支持能力偏弱，比如：synopsys支持的組件對(duì)象中前面3種語(yǔ)言占大頭90%+，相應(yīng)的檢測(cè)率也高，而Golang語(yǔ)言的組件檢出率則低很多。
3. SCA已從主要用作對(duì)開源軟件的檢測(cè)向應(yīng)用程序的典型編碼問題檢測(cè)趨勢(shì)擴(kuò)展，比如Veracode工具，它能提供了對(duì)諸如緩沖器溢出、命令行注入、死鎖、重復(fù)釋放、整形數(shù)溢出、UAF、格式化字符串漏洞，SQL注入等典型編碼問題的檢測(cè)能力。

4、影響SCA分析準(zhǔn)確性的因素分析

1. 從SCA原理可以知道影響分析準(zhǔn)確性的因素分兩個(gè)方面：其一是SCA工具支持組件的數(shù)量和檢測(cè)算法，其二是應(yīng)用程序引用開源軟件的方式。
2. 因?yàn)镾CA工具是根據(jù)樣本組件特征來(lái)匹配被測(cè)程序中的特征來(lái)判斷應(yīng)用程序是否引用該組件的，因此支持組件的數(shù)量越多，那么檢測(cè)率也就越高，支持的組件數(shù)量越少，越會(huì)導(dǎo)致檢測(cè)遺漏；另外檢測(cè)算法和特征設(shè)計(jì)是否合理也直接影響到分析的準(zhǔn)確性和分析效率，不同SCA工具廠商有不同的解決方案，就好比在手機(jī)上識(shí)別指紋/人臉一樣，不同廠商識(shí)別的靈敏度和準(zhǔn)確度都不一樣。
3. 應(yīng)用程序在引用開源軟件時(shí)，不同的應(yīng)用程序即使引用同一個(gè)組件也存在引用不同的功能，引用功能的多少也各不相同，這樣帶來(lái)的結(jié)果就是在應(yīng)用程序中包含該組件的特征數(shù)量也是大小不同的，引用功能多包含的特征一般也多，引用的功能少包含的特征也少。而應(yīng)用程序包含組件特征的多少直接影響到SCA工具的檢測(cè)的準(zhǔn)確性，組件特征越少SCA工具檢測(cè)越困難，因此即使兩個(gè)不同應(yīng)用都引用了相同組件，可能一個(gè)應(yīng)用可以檢測(cè)到，另外一個(gè)應(yīng)用則無(wú)法檢測(cè)出該組件。這種場(chǎng)景對(duì)SCA工具檢測(cè)二進(jìn)制文件尤其明顯。
4. 由于存在上述SCA分析準(zhǔn)確性，在極限情況下如果無(wú)法檢測(cè)出組件，那么也就無(wú)法知道應(yīng)用程序中是否存在該組件的漏洞了。

5、總結(jié)：

1. 不管是源代碼文件的SCA檢測(cè)工具還是二進(jìn)制文件的SCA檢測(cè)工具，他們是一種互補(bǔ)的關(guān)系，各有各的優(yōu)缺點(diǎn)，比如二進(jìn)制文件的SCA檢測(cè)能發(fā)現(xiàn)構(gòu)建過(guò)程中工具鏈引入的安全問題，而源代碼的SCA則不能，SolarWinds事件就很好的說(shuō)明了這一點(diǎn)。
2. 目前SCA工具檢測(cè)開源軟件的已知漏洞是基于組件名稱+版本號(hào)來(lái)關(guān)聯(lián)出已知漏洞的，對(duì)部分編譯場(chǎng)景（只有部分組件代碼被編譯到二進(jìn)制文件中）和patch打補(bǔ)丁場(chǎng)景（漏洞已修復(fù)），誤報(bào)率高。
3. SCA工具掃描效率和準(zhǔn)確性是一對(duì)矛盾體，這是工具廠商需要權(quán)衡考慮的地方，而既能提升準(zhǔn)確率又不會(huì)降低掃描效率的技術(shù)永遠(yuǎn)是SCA工具廠商研究的課題和追求的目標(biāo)。

注1：Top 10開源軟件編程語(yǔ)言：JavaScript(51%)、C++(10%)、Java(7%)、Python(7%)、Ruby(%5)、Go(4%)、C(4%)、PHP(4%)、TypeScript(4%)、C#(3%)、Perl(2%)、Shell(1%)

注2：軟件包是指產(chǎn)品用來(lái)安裝、運(yùn)行的發(fā)布包，里面包含了產(chǎn)品編譯好的可以運(yùn)行的二進(jìn)制文件，比如.so/.jar/.exe/.dll/.pyc
審核編輯：湯梓紅