0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

kiuwan:结合SAST和SCA工具(上)

哲想软件 来源:哲想软件 2023-02-02 13:45 次阅读

在创建、测试和部署软件时,许多开发公司现在使用专有软件和开源软件(OSS)。

专有软件,也称为封闭源代码或非自由软件,包括发布者或其他人保留修改、使用或共享修改的许可权利的应用程序。示例包括 Adobe Flash Player、AdobePhotoshop、macOS、MicrosoftWindows 和 iTunes。

相比之下,OSS授予用户使用、更改、研究软件及其源代码并将其分发给互联网上任何人的能力。因此,任何人都可以参与软件的开发。示例包括MongoDB、LibreOffice、ApacheHTTP Server 和 GNU/Linux操作系统

这意味着许多组织正在为其OSS 使用第三方代码和模块。虽然这些添加对许多应用程序来说非常有用,但它们也会使组织面临风险。根据 Revenera 的2022 年软件供应链状况报告,64%的组织受到 OSS依赖项漏洞引起的软件供应链攻击的影响。

尽管OSS 会使组织面临风险,但避免OSS 软件和依赖项是不切实际的。OSS 软件和依赖项现在在开发中扮演着不可或缺的角色。对于 JavaScript、Ruby和 PHP应用程序框架尤其如此,它们倾向于使用多个OSS 组件。

由于软件公司实际上无法避免使用OSS,因此网络安全团队必须通过使用软件组合分析(SCA) 工具来避免与OSS 相关的漏洞。此外,他们需要将 SCA 与静态应用程序安全测试(SAST) 相结合,因为还使用了Microsoft Windows 和Adobe Acrobat 等专有软件。

什么是SAST?

SAST是一种代码扫描程序,可审查专有代码和应用程序源中的网络安全弱点和错误。SAST 也称为白盒测试,被认为是一种静态方法,因为它在不运行应用程序本身的情况下分析代码。由于它只逐行读取代码而不执行程序,SAST平台在消除软件产品开发生命周期(SDLC) 每一页的安全漏洞方面非常有效,尤其是在开发的前几个阶段。

具体来说,SAST程序可以帮助团队:

查找常见漏洞,例如缓冲区溢出、跨站点脚本和SQL 注入

验证开发团队是否符合开发标准

根除供应链攻击等蓄意违规行为

在代码投入生产并制造漏洞之前发现弱点

扫描开发团队不知道的专有软件错误的所有可能状态和路径

通过在 SDLC的早期减少问题来实施主动安全方法

SAST 在软件开发中扮演着不可或缺的角色。通过在开发团队编写代码时向他们提供实时反馈,SAST可以帮助团队在进入SDLC 的下一阶段之前解决问题并消除问题。这可以防止错误和漏洞累积。

什么是 SCA?

SCA 是一种代码分析工具,可检查源代码、程序包管理器、容器映像、二进制文件,并将它们列在称为物料清单(BOM) 的已知漏洞清单中。然后,该软件将 BOM与包含常见和已知漏洞信息的数据库进行比较,例如美国国家漏洞数据库(NVD)。这种比较使网络安全团队能够发现关键的法律和安全漏洞并修复它们。

一些 SCA工具还可以比较它们的已知漏洞清单,以发现与开源代码相关的许可证。尖端的 SCA 还可能能够:

分析整体代码质量(即贡献历史和版本控制)

自动化使用 OSS模块的整个过程,包括根据需要选择和阻止它们进入IT 环境

针对组织部署应用程序后报告的漏洞提供持续警报和监控

检测并映射无法通过其他工具发现的已知OSS 漏洞

通过识别开源包中的许可证,映射与OSS 依赖项相关的法律合规风险

监控新漏洞

每个软件开发组织都应该考虑获得SCA 以实现法律和安全合规性。SCA 安全、可靠且高效,使团队只需单击几下鼠标即可跟踪开源代码。如果没有 SCA,团队需要手动跟踪开源代码,由于OSS 依赖项的数量惊人,这几乎是不可能的。

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 开源软件
    +关注

    关注

    0

    文章

    209

    浏览量

    15886
  • 操作系统
    +关注

    关注

    37

    文章

    6734

    浏览量

    123184
  • SCA
    SCA
    +关注

    关注

    1

    文章

    36

    浏览量

    11958

原文标题:kiuwan:结合SAST 和 SCA工具(上)

文章出处:【微信号:哲想软件,微信公众号:哲想软件】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    求一个SCA100t d02传感器或者SCA60C的ad转换电路,

    设计一个SCA100t d02传感器或SCA60C传感器的ad转换电路,可以直接连到单片机上的,求大神帮忙~~
    发表于 07-09 14:11

    SCA平台ARM组件的设计

    为了使一个波形能够在多个平台包括不同的操作系统和不同的硬件无缝移植,从手持到终端都使用同样的体系结构,提出了软件通信体系架构SCA(Software Communication Architecture),其
    发表于 07-10 15:56 12次下载

    SCA广播接收机

    SCA广播接收机
    发表于 03-14 14:49 994次阅读
    <b class='flag-5'>SCA</b>广播接收机

    SCA解调器

    SCA解调器
    发表于 10-02 17:31 716次阅读
    <b class='flag-5'>SCA</b>解调器

    SCA体系结构中ARM组件的设计

      SCA的出现使得软件无线电的民用成为现实,SCA是通信平台组件可移植性、可交换性、互用性、软件可重用性、体系结构可扩展性的一个标准,这个标准主要体现在以下4个方
    发表于 08-27 10:54 1527次阅读
    <b class='flag-5'>SCA</b>体系结构中ARM组件的设计

    SCA61T中文资料

    SCA61T中文资料包含SCA61T的介绍与特性及应用等等。
    发表于 09-23 16:15 218次下载
    <b class='flag-5'>SCA</b>61T中文资料

    基于ZedBoard的SCA架构的设计原理

    ZedBoard是Xilinx公司首款融合了ARM Cortex A9双核和7系列FPGA的全可编程片系统,兼具ARM和FPGA两者的优势,是小型化SCA实现的最佳嵌入式平台之一。本文介绍了
    发表于 11-17 07:19 5789次阅读
    基于ZedBoard的<b class='flag-5'>SCA</b>架构的设计原理

    基于源码的二进制SCA特征生成技术

    在二进制SCA检测原理中提到对于常量字符串、部分类名称、函数名称、以及一些配置信息还是存在的,并且这些信息具备一定的不变性;因此二进制SCA工具其中的一部分特征来源就包含这些信息。因此在特征库保存
    的头像 发表于 10-13 13:56 914次阅读
    基于源码的二进制<b class='flag-5'>SCA</b>特征生成技术

    源代码与二进制文件SCA检测原理

    SCA(Software Composition Analysis)软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。SCA具体的检测原理又是如何实现的,源代码和二进制文件的SCA
    的头像 发表于 10-14 09:12 1047次阅读

    如何使用SASTSCA缓解漏洞

    从本质讲,CI/CD管道是一种创建代码、运行测试(CI) 并安全部署新版本应用程序(CD) 的管道。它是开发人员创建应用程序新版本所需执行的一系列步骤。如果没有 CI/CD 管道,计算机工程师将不得不手动完成所有工作,从而降低生产力。
    的头像 发表于 02-06 14:05 1097次阅读

    Kiuwan:更好编码的3个步骤

    代码安全测试的主要方法是使用静态应用程序安全测试或SAST。这种类型的测试涉及代码扫描,以识别源代码中的漏洞。这允许编码人员重新检查敏感性并采取预防措施来应对可能的网络攻击。
    的头像 发表于 02-23 09:34 430次阅读

    怎样使用Kiuwan保护Android应用程序呢?

    Kiuwan扫描 30多种语言的安全漏洞。这包括今天用于构建移动应用程序的语言:Java,JavaScript,Swift,Objective-C等。
    的头像 发表于 03-13 16:09 936次阅读

    ChatGPTScan-SAST安装与使用

    0x01 工具介绍 一个基于 ChatGPT 的开源代码审计平台。 0x02 安装与使用 1、首先克隆项目   git clone https://github.com/YulinSec
    的头像 发表于 05-16 15:21 679次阅读
    ChatGPTScan-<b class='flag-5'>SAST</b>安装与使用

    White Source SAST—信息安全测试工具

    WhiteSource是一家AST(应用程序安全测试)领域的专业供应商,专注于信息安全咨询与缺陷研究。WhiteSource提供的SAST产品旨在使用静态应用程序安全测试(SAST、白盒测试)技术
    的头像 发表于 04-02 14:44 463次阅读
    White Source <b class='flag-5'>SAST</b>—信息安全测试<b class='flag-5'>工具</b>

    一种SCA波形库远程管理和SCA波形远程加载运行的技术方案

    电子发烧友网站提供《一种SCA波形库远程管理和SCA波形远程加载运行的技术方案.pdf》资料免费下载
    发表于 10-23 11:30 0次下载
    一种<b class='flag-5'>SCA</b>波形库远程管理和<b class='flag-5'>SCA</b>波形远程加载运行的技术方案