技术文章

我们生活在一个如果没有开源软件就很难想象的世界。尽管开源以及 DevSecOps 测试方法和工具已经存在很长一段时间，但直到过去几年，软件组合分析 (SCA) 才开始相对于其他流行的安全测试技术获得更多关注，包括以下技术:

• 静态应用程序安全测试 (SAST) - 通常用于检测专有代码中的漏洞，但传统上已知会返回较高的误报。

• 动态应用程序安全测试 (DAST) - 最好在部署应用程序后的软件开发生命周期的后期阶段应用，这意味着漏洞通常会在下一个生命周期中修复。

同时， SCA是对特定软件和/或整个软件供应链中嵌入的开源组件、依赖项和许可证要求的持续、精确和深入的审查。SCA 工具可用于自动识别整个容器映像、打包的二进制文件和源代码中的漏洞。它们对于识别和管理软件许可证也很有用。

SCA 的兴起在某种程度上与现代软件开发中开源软件的兴起同时发生。鉴于开源软件现在约占现代代码库的 90%，组织需要明确的策略和正确的工具来应对开源软件风险。

据估计，每个月有 12 亿个易受攻击的依赖项被下载，软件开发不乏威胁。跟踪漏洞或筛选代码行的传统手动方法根本无法应对数量和复杂性。SCA 已经轻松进入这一利基市场——它以 DevOps 的规模和速度自动实现开源软件的可见性，以帮助风险管理、安全改进和许可证合规性。

是什么让 SCA 处于领先地位？

那么，是什么触发了对先进 SCA 平台的倾斜呢？为什么各个行业的组织都应该立即关注并采取行动？

旨在增强美国软件供应链安全的2021 年行政命令发生了重大转变。它打算让供应商承担责任，要求他们提供软件物料清单 (SBOM)，以便：

• 展示安全的开发实践和流程。

• 为软件透明度奠定基础。

虽然 SAST 和 DAST 工具已经就位，但 SCA 解决方案发挥了带头作用，并开发了以广泛接受的格式（例如CycloneDX 和 SPDX）生成和导出 SBOM 的功能。SBOM 帮助政府和私营部门客户验证软件组件的完整性。

这一功能使 SCA 成为人们关注的焦点。

然后，在 2021 年 12 月，Log4j 漏洞的高调披露成为各地头条新闻。这种广泛使用的开源实用程序给从消费产品到企业软件和 Web 应用程序的数百万软件发行版带来了严重风险。

使用 SCA 的组织能够快速：

1. 识别受影响的应用程序（查找）。

2. 对受影响的系统应用补丁以阻止威胁进一步传播（修复）。

3. 加强他们的安全态势（强化）。

许多不使用 SCA 工具的组织都在忙于在其应用程序中查找易受攻击的 Log4j 版本，然后修补它们。

同样， 2020 年高度复杂的SolarWinds 黑客攻击凸显了软件供应链面临的威胁。这促使公司认真重新考虑软件安全的优先顺序，政府官员呼吁对软件安全政策和控制进行更严格的审查。

这些公告和事件使 SCA 成为人们关注的焦点。

SCA 对 DevSecOps 意味着什么

对于在成熟的 SCA 平台上做出正确决策和投资的犹豫仍然存在，使组织面临严重的网络安全风险。根深蒂固的态度和文化也减缓了采用速度。简而言之，你不能祈祷：

• 它不会发生在我们身上，或者它不会再发生。（再想一想。软件供应链攻击的年平均增幅高达 742%，令人震惊。）

• 我们的技术堆栈中的开源风险管理将有机地、自动地或以某种方式神奇地发生。

• 开源软件风险应完全由 IT 部门管理。

• 生成 SBOM 就足够了，我们并不真正需要成熟的 SCA 工具。

SCA 是应用程序安全 (AppSec) 的基本构建块。组织需要快速将其 DevSecOps 和软件开发生命周期实践和流程从罕见的后端团队转变为推动公司创新战略的前沿团队。让我们了解为什么先进的 SCA 工具是当今任何公司的必备工具。

采用 SCA 的理由 

以下是投资正确的 SCA 软件平台如何帮助您实现从优秀到卓越的转变！

了解您的软件（以及您的供应链）中的内容

开源软件既有价值又容易受到攻击。虽然它是让您的数字化转型超速发展的催化剂，但它也为不良行为者提供了足够大的攻击面。开源下载量之大令人难以置信，其中估计有 12 亿次容易受到攻击，这为检查软件开发流程中的内容提供了令人信服的理由。

SCA 工具为 DevSecOps 团队提供有关这些易受攻击的组件和恶意软件包的及时信息，更重要的是，提供有关如何修复它们的上下文指导。这有助于开发人员选择安全的组件并将产品推出市场，而不会过度担心安全问题。

在速度和安全性之间取得正确的平衡

当开发人员和 AppSec 的世界发生冲突时，场面可不妙！开发人员面临着更快地将产品推向市场的压力，而安全团队需要确保所交付的代码安全且干净。达到这种平衡，更不用说维持它，可能是一场噩梦，并很快使组织目标脱轨。

现代 SCA 解决方案不仅报告所涉及的关键风险和问题，还提供自动策略实施和补救，将具有相同洞察力的团队统一起来，同时确保 DevOps 速度和结果。

降低风险

在当今快速发展的商业环境中，中断可能会付出高昂的代价，尤其是那些直接影响收入目标的中断，例如更快的上市时间和敏捷的产品开发。现代 SCA 平台可保护您免受可能损害您的业务、客户和声誉的安全风险。此外，它们还可以防止开源许可义务和低质量组件带来的法律风险。通过使用关键指标（包括年龄和受欢迎程度）来评估质量，SCA 可以发现并持续监控应用程序中的有问题的代码。这反过来将有助于系统地预测和降低风险，这些风险不仅会影响 SDLC，还会影响业务成果。

应用一致的政策

安全团队需要：

1. 准确了解所有应用程序中开源使用所带来的总体风险。

2. 制定一致的政策，将风险控制在可接受的水平。

3. 与开发团队协调工作，指导修复工作。

使用 SCA 解决方案在整个软件开发生命周期中实现流程和实践自动化，有助于确保成功迁移到 DevSecOps 操作环境。

推进您的创新优先事项

公司必须创新才能保持竞争优势。俗话说，今天的每家公司都是软件公司。选择开源的公司也是世界上最成功的公司之一。据咨询公司 BCG 称，99% 的财富 500 强公司都使用开源软件。此外，麦肯锡的研究发现，表现最好的公司中排名前 25% 的公司都采用了开源软件。

SCA 如何推动关键业务成果

对软件平台的投资引发了讨论和审查它们可以为组织带来哪些切实成果。SCA 软件也不例外。企业级 SCA 平台应帮助公司推动：

• 开发人员生产力。我们经常听到“开发人员速度”这个词。这不仅仅是一个愿望，而且对于推动创新和赋予公司竞争优势至关重要。简而言之，开发人员需要将优质产品快速推向市场。专门构建的 SCA 平台使开发人员能够无所畏惧地完成其工作的核心工作，从而通过软件开发来提高业务绩效。

• 智能安防。SCA 工具可帮助公司协调开发人员和安全团队之间的动态。通过向所有相关人员展示安全问题和漏洞，SCA 可以最大限度地减少摩擦并促进协作，提供软件安全的全面视图，并实现更好的决策。

• 卓越运营。这超出了运营效率的范畴，而运营效率是任何 SCA 平台的赌注。高可用性、复制、轻松的可扩展性和云等功能为卓越运营奠定了基础，可以缩短构建时间，同时通过跨多级管理层次结构的智能自动化帮助加入更多应用程序、用户和策略。

展望未来

开源软件持续增长，SCA 的未来看起来充满希望。据估计，95% 的 IT 领导者现在认为开源软件是其企业的重要组成部分。随着这个领域的快速发展，我们将越来越多地见证 SCA 平台欢迎并吸收新趋势和技术，例如：

• 云中的 SCA。可扩展、安全且始终可用。软件团队将越来越多地在其 SCA 部署中寻找这些功能，以最大限度地提高业务成果、减少管理开销并加速安全软件交付。

• 主动式 SCA 与被动式 SCA。全面管理组织风险现在已扩展到所有软件供应链风险。虽然查找并修复 SDLC 管道中的漏洞是一种行之有效的做法，但能够从一开始就阻止这些漏洞进入的公司具有明显的优势。主动 SCA 将嵌入组织风险框架中，以应对暴露组织的不断扩大的威胁面。

• 始终在线的 SCA：大型企业无法承受运营停机，需要一个有弹性的系统，通过最大限度地减少单点故障来确保 SDLC 管道始终可用。他们还需要能够按需扩展并轻松管理多个实例。这就需要创建一个永远在线的架构，其中包括采用多种方法，例如高可用性、复制和灾难恢复。

• 扩展的 SCA： SCA 将继续发展，以反映持续的创新和不断增长的需求，使软件比以往更加安全。这可能包括与其他安全工具的集成，以及通过人工智能、机器学习和精心策划的人类分析三重作用在阻止、查找和修复漏洞方面提高复杂性。

• 人工智能和机器学习（AI/ML）将会激增。随着公司安装数百甚至数千个应用程序，自动化常规任务、减少噪音（误报和漏报）并提高风险可见性变得非常重要。只有将 AI/ML 的使用推进到 SCA 中，大规模自动化才有可能实现。