近日,国际权威咨询机构Forrester发布了《软件成分分析格局,2024年第二季度(Software Composition Analysis Landscape, Q2 2024)》报告,报告概述了21家软件构成分析厂商的不同领域、地域侧重点,腾讯云凭借在软件成分分析领域的技术探索与能力沉淀,入选该报告著名厂商名单。
在报告中,Forrester 将 SCA(软件成分分析,Software Composition Analysis)定义为在不执行应用程序的情况下对其进行扫描,以生成所有开源和第三方组件清单的产品。这种扫描可用于识别漏洞、许可风险、冲突和不合规使用,指导用户在何处以及如何补救这些缺陷,帮助用户在将健康安全的组件纳入应用程序之前进行选择,并创建清单记录。
Forrester 表示,在选择 SCA 供应商时,必须考虑供应商的规模、产品类型、能力以及地域和用例差异,以确保所选工具满足企业的特定需求。通过利用相关报告,深入了解不同供应商的价值和差异及其规模和市场重点,可以更有效地管理软件供应链,降低风险,确保软件产品的安全性和合规性。
科恩实验室基于多年开发安全能力,推出以源码/二进制软件成分分析为核心的检测平台 BSCA(https://cloud.tencent.com/product/bsca),帮助用户建立开发安全体系,输出软件物料清单,解决供应链安全及开源合规问题。
腾讯云SCA产品包含源代码组件成分分析引擎、二进制制品成分分析引擎,支持 20+文件格式,包括各类二进制固件包、镜像、压缩文件等。支持 Linux、Android、QNX、RTOS 等系统,支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架构,专注于解决企业内引入的开源软件及软件供应链的安全风险问题,全面适应企业软件开发运维的各类场景。
与传统SCA工具相比,腾讯云SCA工具最大的优势有两点:一、多年的二进制固件分析经验,国内外的各类安全奖项;二、多行业、多场景的用户需求的积累,与国内标杆合规检测机构合作。
同时,在二进制安全智能分析平台BinaryAI(https://www.binaryai.cn)核心能力加持下,腾讯云SCA工具的特色在于其智能分析引擎可支持软件成分分析和恶意软件分析,对用户上传的二进制文件,BinaryAI可以在GitHub全量C/C++库范围中做相似性检索,以业界领先的识别准确率匹配到文件所使用的开源组件。SCA产品在本地镜像漏洞扫描(Docker Image Scan)方面是采取以下策略:
首先,工具能够识别容器镜像中的安全漏洞,并提供修复建议,同时识别依赖组件的许可证类型,评估合规风险。此外,SCA工具生成详尽的软件物料清单(SBOM),清晰展示组件间的依赖关系,为软件供应链的安全管理提供数据支持,并进行全面的安全审计,检测基线风险和敏感数据泄露等问题。
在扫描时机上,SCA工具能够抓住以下关键节点进行操作:开发人员在编译得到镜像文件后立即进行安全检测,确保问题能在早期被发现和解决;与制品库或镜像仓库对接,对所有入库镜像进行全量扫描;与CI流水线集成,实现代码提交或构建过程中的自动触发扫描任务;以及在软件供应商提供镜像文件时,进行风险检查并生成SBOM。
通过这些全面且高效的策略和时机的合理安排,SCA工具不仅提高了开发效率,还确保了镜像的安全性和合规性,为软件开发和部署提供了坚实的安全保障。
事实上,软件供应链安全不仅是技术层面的问题,它包括软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道和使用安全的总和。正如Forrester指出的那样,SCA是任何保护软件供应链的安全计划的基础部分,但仅靠SCA是不够的。
科恩实验室提供了全面的解决方案来应对供应链安全的各种场景。首先,科恩安全审计套件通过深入的软件组件来源分析和签名验证,确保供应链中的组件和代码未被篡改或包含恶意软件来防御软件供应链攻击。
其次,科恩的第三方风险管理功能通过评估和监控第三方服务和组件的安全性与合规性,包括定期的安全评估和合规性审查,以减少供应链带来的风险。科恩安全审计套件拥有亿级别的组件知识库,为软件资产中的风险提供专业的修复建议。
软件供应链安全市场在蓬勃发展的同时,也逐步趋于复杂化和多样化,面对愈演愈烈的开源安全境况以及更复杂的安全威胁,腾讯安全科恩实验室基于大模型研发将持续不断调整解决方案,采用更加全面的软件供应链安全策略,覆盖更多软件形态和开发语言。未来,腾讯安全也将携手产业生态伙伴,共筑软件供应链安全生态。