不僅僅是SCA 應對複雜威脅需要更全面的軟體供應鍊安全組合政策

近年來，雲原生、AI、物聯網等新興技術的發展為資訊安全産業的發展注入了新的生命力，但與此同時也帶來了更嚴峻的安全風險，軟體供應鍊攻擊正是其中之一。SolarWinds和Log4j等事件的頻發爆發讓軟體供應鍊攻擊一詞被推到了最前沿。Gartner也預測，“到2023年，全球45%的組織都将遭受到軟體供應鍊攻擊，比2021年增加3倍。”

為了識别和修複其軟體供應鍊中的漏洞和威脅，企業開始采用軟體成分分析 （SCA） 工具，使安全團隊能夠更清晰地看清其攻擊面、識别風險并實施開源元件風險治理的政策。是以，SCA工具已成為軟體工程和應用程式安全團隊的必備工具。

SCA軟體成分分析是一種對二進制軟體的組成部分進行識别、分析和追蹤的技術。SCA可以生成完整的SBOM清單，分析開發人員所使用的各種源碼、子產品、架構和庫，以識别和清點開源軟體（OSS）的元件及其構成和依賴關系，并精準識别系統中存在的已知安全漏洞或者潛在的許可證授權問題，把這些安全風險排除在軟體的釋出上線之前，也适用于軟體運作中的診斷分析。

通過使用基于多源SCA開源應用安全缺陷檢測技術的安全審查工具，可以精準識别應用開發過程中，軟體開發人員有意或違規引用的開源第三方元件，并通過對應用組成進行分析，多元度提取開源元件特征，計算元件指紋資訊，深度挖掘元件中潛藏的各類安全漏洞及開源協定風險。

日前，咨詢機構Forrester釋出了2023年1季度軟體成分分析形勢報告（The Software Composition Analysis Landscape, Q1 2023），報告詳細地分析了目前SCA市場的現狀，對SCA工具的應用前景和未來發現趨勢進行了讨論。報告指出，SCA并不等于軟體供應鍊安全，應對現代軟體的開發需求，應對更複雜的安全威脅需要采用更全面的軟體供應鍊安全政策。

SCA已成為軟體供應鍊安全風險治理的基礎性核心工具

當今的軟體開發環境下，開發人員往往采用開源軟體以加快開發速度。然而随着開源元件的引入，開源元件漏洞、許可證法律風險問題都是潛在的安全威脅，如何做好安全态勢監測，在軟體開發生命周期的每個階段做好跟蹤成為必然。

Forrester在報告中将SCA定義為“掃描應用程式而不執行它，以生成所有開源和第三方元件清單的産品”。除了通過軟體物料清單 （SBOM） 了解應用的元件外，SCA 還可以降低應用中的許可證、漏洞和操作風險。它還能夠幫助軟體在開發生命周期 （SDLC） 中應用一緻的開源政策。

Forrester 将 SCA 視為組織的基本工具，用于轉變其開發、安全和營運 （DevSecOps） 方法，以保護軟體供應鍊。由于SCA是自動化的并內建到SDLC中，是以它可以為開發人員提供有關應用程式漏洞和許可證風險的及時回報。SCA 還為開發人員提供指導，以便在應用生命周期的早期确定調查結果的優先級和更高效的修正。

SCA提供了對內建到開發團隊建立的軟體中的開源元件和庫的可見性，幫助管理安全性和許可證相關的風險，確定嵌入到應用程式中的任何開源元件都符合某些标準，以避免引入可能導緻資料洩露、知識産權受損或法律糾紛的風險。随着開源使用的持續增長，顯然需要 SCA 通過檢測軟體許可證、依賴項以及代碼庫中的已知漏洞和潛在漏洞來分析開源元件，使開發和安全團隊能夠管理其安全風險和許可證合規性。

2019年，Gartner 在報告中把 SCA 納入 AST 技術領域範圍，進而形成了包含 SAST、DAST、IAST和 SCA的應用軟體安全測試技術體系，并正式釋出了有關 SCA 的技術洞察報告。根據Forrester的報告，預計SCA在軟體安全市場中的地位将達到與傳統應用程式安全工具動态應用程式安全測試（DAST）同等的地位，或者到2025年在市場上超過它。

不僅僅是SCA 應對供應鍊威脅需要更體系化

很多時候，一些組織會将SCA等同于軟體供應鍊安全。盡管SCA工具對于保護軟體供應鍊至關重要，但它們隻是其中的一部分。軟體供應鍊作為一個複雜、龐大的系統，難免存在薄弱環節，這就為攻擊者創造了一個契機，攻擊者無需代碼審計或漏洞挖掘，而是以軟體供應鍊中的薄弱環節為攻擊點進行軟體攻擊或篡改，發起軟體供應鍊攻引起軟體供應鍊安全問題，進而産生巨大的安全危害。是以，保障軟體供應鍊安全，若僅僅對某單一環節進行安全防護是遠遠不夠的，需從軟體供應鍊的供應過程及軟體自身安全出發。

正如Forrester指出的那樣，SCA是任何保護軟體供應鍊的安全計劃的基礎部分，但僅靠SCA是不夠的。SCA 和大多數應用程式安全測試工具一樣，他們分别關注與代碼相關的一小部分風險，能夠解決部分安全問題，但軟體供應鍊安全是一個十分複雜的命題，需要建構一整套的軟體供應鍊安全治理體系，才能夠實作軟體從需求設計、開發測試、釋出營運、下線停用等環節進行全流程的閉環安全風險管理。

攻擊者并不會将自身局限在攻擊軟體供應鍊時破壞軟體存儲庫，是以防禦者也不應将自己限制在代碼分析上。Forrester認為，現代軟體供應鍊安全平台需要同時保護基礎設施和應用程式，并将重點逐漸從漏洞轉移到惡意軟體上。

鑒于軟體供應鍊攻擊在過去幾年中越來越受歡迎，企業的攻擊面在持續增長，組織現在需要防禦的攻擊類型也在增加。很明顯，軟體供應鍊攻擊的威脅不僅會持續存在，而且數量越來越多，越來越複雜。除了攻擊的數量之外，攻擊類型也變得越來越技術性和多樣性。

是以報告認為，随着攻擊威脅的增長，相關安全廠商必須不斷調整其解決方案以應對威脅态勢的變化，持續加強對惡意軟體的關注，更精準地識别第三方軟體元件中的惡意軟體和代碼篡改，覆寫更多的軟體形态和開發語言，與研發流水線、安全工具進一步內建，形成更高效的協同治理能力等等，是SCA産品供應廠商們下一步應該努力的方向。

AST+SCA+RASP三駕馬車已成為國内軟體安全廠商的最佳實踐

根據此前對業内多家主流軟體開發安全領域廠商的走訪調研，安全419觀察到，國内市場上的SCA産品目前已經比較豐富。将AST類工具與SCA以及RASP進行深度的耦合以及智能協同，并以平台的形式傳遞給使用者已經成為目前國内軟體安全領域應對供應鍊安全風險的最主流方案，包括懸鏡安全、酷德啄木鳥、孝道科技等在内的多家廠商，均在采訪中分享了自身在相關開發安全工具鍊方面的安全解決方案。

譬如，懸鏡安全創新提出“單探針”模式，通過單探針将第三代DevSecOps智适應威脅管理體系中的源鑒OSS、靈脈IAST和雲鲨RASP三大産品進行了深度的關聯。首先幫助使用者通過SCA軟體成分分析和SBOM軟體物料清單檢測并梳理出數字化應用所涉及的第三方元件，進而基于運作時探針插樁技術識别相關元件是否在使用，判斷是否存在漏洞，最終再通過RASP來完成自動化的熱更新檔修複，實作數字化應用的運作時風險免疫，并為使用者提供一整套軟體供應鍊安全元件化的閉環服務。

再如，酷德啄木鳥的軟體供應鍊安全解決方案中，也将自身旗下的SAST（CodePecker源代碼缺陷分析系統）、SCA（CodePecker軟體成分分析系統）、IAST（CodePecker Finder互動式測試系統）以及RASP（應用自保護系統）進行了有機整合。以互動式測試系統與源代碼缺陷分析系統形成優勢互補，在客戶側形成以DAST為主、IAST為輔的工具組合，RASP則與之關聯，當軟體應用遭受攻擊時，先行提供防護能力，為最終的徹底修複提供一定的時間視窗。

同時，當RASP在軟體應用遭受攻擊啟動防護時，如果導緻該攻擊的問題是此前測試階段未檢測出來的，那麼相關的問題代碼便可以依靠整體解決方案的關聯能力，自動與源代碼缺陷分析系統比對、查找并展現出來，以利于後期徹底修複。

#供應鍊安全##網絡安全#