源鉴SCA4.7 重磅发布| 国内首创全链路可达性分析,新一代SCA能力天花板!
日期:2024年10月18日 阅:67
SCA用户苦误报久矣。
一个小型项目就会依赖数十个甚至数百个开源库,而对于大型企业应用程序而言,这个数字会指数型暴涨,达到千万级组件、上亿级依赖关系,相应的,与这些依赖项相关的漏洞数量随之激增。
当SCA检出数万个应用程序漏洞时,用户不得不面临这些问题:
业内通常给出的解决方案是,漏洞可达性分析,即分析项目代码中某漏洞的触发函数在代码中是否被实际调用。
不过,这还远远不够。
让我们像攻击者一样思考,完整的攻击路径是怎样的?
首先是找到系统中可以被利用的入口点(如开放的API、网络端口等),然后通过这些入口逐步深入到系统的内部漏洞。
反过来说,如果过程中任一环节是不可达的,那么漏洞的实际可利用性就大大降低。
场景1:在一个不对外暴露的内部系统中,可能存在多个漏洞函数被内部代码调用,但这些漏洞由于没有外部接口暴露,攻击者很难直接利用。
场景2:攻击者可以通过外部接口与系统交互,但项目中依赖的带有漏洞的组件并没有在代码中被实际调用。即使漏洞存在于依赖的组件中,代码也并没有使用该组件中的漏洞部分。
场景3:攻击者能够通过外部接口访问系统,并且系统确实调用了带有漏洞的组件,但是漏洞所在的具体函数并没有被调用。
悬镜源鉴SCA在国内率先提出全链路可达性分析+供应链情报的解决思路:外部可达、组件可达、函数级漏洞可达,三层可达性分析,并结合悬镜XSBOM提供的供应链情报视角,带来前所未有的可见性和精准定位。
数据显示,国内企业软件项目中,含超危和高危许可协议的项目占比达16.8%。因软件产品未遵循开源许可证相关条款规定,会造成版权侵权、专利侵权、商标侵权和许可证冲突等合规风险。
截至目前,悬镜源鉴SCA4.7版本收录开源许可证数量扩充至3000+,针对许可证的各许可条款以及许可责任提供详细的说明:
PART3:超全应用场景
随着开发环境的多样化,开发者使用不同的语言和工具链来构建应用,源鉴SCA 4.7版本在支持开发语言、开发环境、检测对象上持续扩展,覆盖更多应用场景。
在移动应用程序(如Android APK文件)中,APK中的 Dex 文件包含了 Android 应用的字节码,源鉴SCA 4.7版本
鸿蒙是华为开发的操作系统,ArkTS 是其特有的编程语言。源鉴SCA 4.7版本新增对ArkTS语言的支持,帮助开发者在鸿蒙生态下检测其代码和依赖库中的组件漏洞,保障鸿蒙平台应用的安全性和合规性。
制品库是 CI/CD 流程中的重要一环,源鉴SCA 4.7版本在支持多个代码仓库、私服仓库、镜像仓库等基础上,新增支持蓝鲸CPack制品库的制品文件来源,对构建产物中的依赖进行自动化扫描和分析。
悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为 DevSecOps 敏捷安全领导者,始终专注于以“代码疫苗 ”技术为内核,凭借原创专利级“ 全流程数字供应链安全赋能平台 + 敏捷安全工具链 ”的第三代DevSecOps 智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。