近日，國際權(quán)威咨詢機(jī)構(gòu)Forrester發(fā)布了《軟件成分分析格局，2024年第二季度(Software Composition Analysis Landscape, Q2 2024)》報(bào)告，報(bào)告概述了21家軟件構(gòu)成分析廠商的不同領(lǐng)域、地域側(cè)重點(diǎn)，騰訊云憑借在軟件成分分析領(lǐng)域的技術(shù)探索與能力沉淀，入選該報(bào)告著名廠商名單。

　　在報(bào)告中，F(xiàn)orrester 將 SCA(軟件成分分析，Software Composition Analysis)定義為在不執(zhí)行應(yīng)用程序的情況下對其進(jìn)行掃描，以生成所有開源和第三方組件清單的產(chǎn)品。這種掃描可用于識別漏洞、許可風(fēng)險(xiǎn)、沖突和不合規(guī)使用，指導(dǎo)用戶在何處以及如何補(bǔ)救這些缺陷，幫助用戶在將健康安全的組件納入應(yīng)用程序之前進(jìn)行選擇，并創(chuàng)建清單記錄。

　　Forrester 表示，在選擇 SCA 供應(yīng)商時(shí)，必須考慮供應(yīng)商的規(guī)模、產(chǎn)品類型、能力以及地域和用例差異，以確保所選工具滿足企業(yè)的特定需求。通過利用相關(guān)報(bào)告，深入了解不同供應(yīng)商的價(jià)值和差異及其規(guī)模和市場重點(diǎn)，可以更有效地管理軟件供應(yīng)鏈，降低風(fēng)險(xiǎn)，確保軟件產(chǎn)品的安全性和合規(guī)性。

　　科恩實(shí)驗(yàn)室基于多年開發(fā)安全能力，推出以源碼/二進(jìn)制軟件成分分析為核心的檢測平臺 BSCA(https://cloud.tencent.com/product/bsca)，幫助用戶建立開發(fā)安全體系，輸出軟件物料清單，解決供應(yīng)鏈安全及開源合規(guī)問題。

　　騰訊云SCA產(chǎn)品包含源代碼組件成分分析引擎、二進(jìn)制制品成分分析引擎，支持 20+文件格式，包括各類二進(jìn)制固件包、鏡像、壓縮文件等。支持 Linux、Android、QNX、RTOS 等系統(tǒng)，支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架構(gòu)，專注于解決企業(yè)內(nèi)引入的開源軟件及軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)問題，全面適應(yīng)企業(yè)軟件開發(fā)運(yùn)維的各類場景。

　　與傳統(tǒng)SCA工具相比，騰訊云SCA工具最大的優(yōu)勢有兩點(diǎn)：一、多年的二進(jìn)制固件分析經(jīng)驗(yàn)，國內(nèi)外的各類安全獎項(xiàng);二、多行業(yè)、多場景的用戶需求的積累，與國內(nèi)標(biāo)桿合規(guī)檢測機(jī)構(gòu)合作。

　　同時(shí)，在二進(jìn)制安全智能分析平臺BinaryAI(https://www.binaryai.cn)核心能力加持下，騰訊云SCA工具的特色在于其智能分析引擎可支持軟件成分分析和惡意軟件分析，對用戶上傳的二進(jìn)制文件，BinaryAI可以在GitHub全量C/C++庫范圍中做相似性檢索，以業(yè)界領(lǐng)先的識別準(zhǔn)確率匹配到文件所使用的開源組件。SCA產(chǎn)品在本地鏡像漏洞掃描(Docker Image Scan)方面是采取以下策略：

　　首先，工具能夠識別容器鏡像中的安全漏洞，并提供修復(fù)建議，同時(shí)識別依賴組件的許可證類型，評估合規(guī)風(fēng)險(xiǎn)。此外，SCA工具生成詳盡的軟件物料清單(SBOM)，清晰展示組件間的依賴關(guān)系，為軟件供應(yīng)鏈的安全管理提供數(shù)據(jù)支持，并進(jìn)行全面的安全審計(jì)，檢測基線風(fēng)險(xiǎn)和敏感數(shù)據(jù)泄露等問題。

　　在掃描時(shí)機(jī)上，SCA工具能夠抓住以下關(guān)鍵節(jié)點(diǎn)進(jìn)行操作：開發(fā)人員在編譯得到鏡像文件后立即進(jìn)行安全檢測，確保問題能在早期被發(fā)現(xiàn)和解決;與制品庫或鏡像倉庫對接，對所有入庫鏡像進(jìn)行全量掃描;與CI流水線集成，實(shí)現(xiàn)代碼提交或構(gòu)建過程中的自動觸發(fā)掃描任務(wù);以及在軟件供應(yīng)商提供鏡像文件時(shí)，進(jìn)行風(fēng)險(xiǎn)檢查并生成SBOM。

　　通過這些全面且高效的策略和時(shí)機(jī)的合理安排，SCA工具不僅提高了開發(fā)效率，還確保了鏡像的安全性和合規(guī)性，為軟件開發(fā)和部署提供了堅(jiān)實(shí)的安全保障。

　　事實(shí)上，軟件供應(yīng)鏈安全不僅是技術(shù)層面的問題，它包括軟件供應(yīng)鏈上軟件設(shè)計(jì)與開發(fā)的各個階段中來自本身的編碼過程、工具、設(shè)備或供應(yīng)鏈上游的代碼、模塊和服務(wù)的安全，以及軟件交付渠道和使用安全的總和。正如Forrester指出的那樣，SCA是任何保護(hù)軟件供應(yīng)鏈的安全計(jì)劃的基礎(chǔ)部分，但僅靠SCA是不夠的。

　　科恩實(shí)驗(yàn)室提供了全面的解決方案來應(yīng)對供應(yīng)鏈安全的各種場景。首先，科恩安全審計(jì)套件通過深入的軟件組件來源分析和簽名驗(yàn)證，確保供應(yīng)鏈中的組件和代碼未被篡改或包含惡意軟件來防御軟件供應(yīng)鏈攻擊。

　　其次，科恩的第三方風(fēng)險(xiǎn)管理功能通過評估和監(jiān)控第三方服務(wù)和組件的安全性與合規(guī)性，包括定期的安全評估和合規(guī)性審查，以減少供應(yīng)鏈帶來的風(fēng)險(xiǎn)。科恩安全審計(jì)套件擁有億級別的組件知識庫，為軟件資產(chǎn)中的風(fēng)險(xiǎn)提供專業(yè)的修復(fù)建議。

　　軟件供應(yīng)鏈安全市場在蓬勃發(fā)展的同時(shí)，也逐步趨于復(fù)雜化和多樣化，面對愈演愈烈的開源安全境況以及更復(fù)雜的安全威脅，騰訊安全科恩實(shí)驗(yàn)室基于大模型研發(fā)將持續(xù)不斷調(diào)整解決方案，采用更加全面的軟件供應(yīng)鏈安全策略，覆蓋更多軟件形態(tài)和開發(fā)語言。未來，騰訊安全也將攜手產(chǎn)業(yè)生態(tài)伙伴，共筑軟件供應(yīng)鏈安全生態(tài)。