近年來，軟件供應(yīng)鏈安全事件層出不窮，所制造的危害程度愈加嚴重，作為數(shù)字化社會發(fā)展的基本要素之一，軟件安全也開始與社會安全密切相關(guān)，無論是對開發(fā)者還是使用者，都開始對軟件以及軟件供應(yīng)鏈安全給予重視，關(guān)于如何有效緩解此類安全問題，業(yè)內(nèi)普遍認為應(yīng)采用安全左移的思路——將安全嵌入至整個軟件開發(fā)生命周期中，事實也證明這一方式的確有效，在面向軟件供應(yīng)鏈安全方面，國內(nèi)也有多家廠商推出了相關(guān)解決方案，本期《軟件供應(yīng)鏈安全解決方案》的主角則是一家長期專注于該安全領(lǐng)域的專業(yè)廠商——酷德啄木鳥。

　　據(jù)了解，酷德啄木鳥成立于2013年，在9年的發(fā)展歷程之中，他們一直專注于軟件源代碼信息安全領(lǐng)域，有著豐富的技術(shù)積累和實戰(zhàn)經(jīng)驗。酷德啄木鳥總經(jīng)理楊臨慶告訴我們，在2016年以前，他們一直都在潛心于靜態(tài)檢測工具的自主研發(fā)工作，旗下CodePecker源代碼缺陷分析系統(tǒng)更是國內(nèi)第一款完全自主知識產(chǎn)權(quán)的商用源代碼檢測產(chǎn)品。隨著軟件開發(fā)安全趨勢的不斷變化，酷德啄木鳥目前基于靜態(tài)檢測技術(shù)的核心能力，在對已有產(chǎn)品、服務(wù)不斷迭代升級的同時，也不斷完善和豐富產(chǎn)品布局，推出了更多相關(guān)領(lǐng)域的安全產(chǎn)品，如去年11月，他們發(fā)布了可為用戶提供包括軟件成分組成及統(tǒng)計分析、軟件依賴組件合規(guī)檢測、軟件依賴組件漏洞識別以及軟件成分分析項目管理等多重安全管理功能的SCA軟件成分分析系統(tǒng)。

　　總體而言，相較于國內(nèi)諸多該領(lǐng)域的新興廠商，酷德啄木鳥在DevSecOps全系工具鏈的產(chǎn)品布局方面已經(jīng)趨于完備，除了前面所以到的CodePecker源代碼缺陷分析系統(tǒng)（SAST）和SCA軟件成分分析系統(tǒng)之外，還有包括交互式測試系統(tǒng)CodePecker Finder（IAST）、動態(tài)檢測工具（DAST）、應(yīng)用自保護系統(tǒng)（RASP），實現(xiàn)為用戶提供完善且覆蓋完整開發(fā)生命周期的安全解決方案。

　　軟件供應(yīng)鏈安全解決方案

　　需覆蓋“查別人”與“查自己”兩大場景

　　在談到軟件供應(yīng)鏈安全的客戶需求層面這一話題時，楊臨慶表示，“如果從應(yīng)用場景的角度去看，我們認為可以簡單直觀的劃分為兩類，一是‘查別人’，二是‘查自己’，那么與之相對應(yīng)的客戶需求都是軟件供應(yīng)鏈安全解決方案所應(yīng)該覆蓋和滿足的?！?/p>

　　● 查別人，指的是軟件由企業(yè)交給外部團隊或其他企業(yè)來進行開發(fā)，該類用戶群體最大的痛點是希望能夠在軟件交付環(huán)節(jié)真正實現(xiàn)安全性驗收，能夠充分保障圍繞該軟件的相關(guān)業(yè)務(wù)能夠持續(xù)安全穩(wěn)定運行。

　　● 查自己，指的是軟件有企業(yè)內(nèi)部研發(fā)、開發(fā)部門或團隊進行，此類用戶群體的需求則主要側(cè)重于在將安全引入到完整的軟件開發(fā)周期中。

　　值得一提的是，相對于更多專注于IAST、RASP相關(guān)技術(shù)的新興廠商，酷德啄木鳥得益于自身長期在SAST領(lǐng)域的技術(shù)積累，從而在覆蓋“查別人”這一需求層面具備強大優(yōu)勢。盡管IAST在性能、漏報率、以及誤報率方面具有較強優(yōu)勢，但考慮其依賴于在開發(fā)、測試過程中插樁以收集相關(guān)安全信息并發(fā)現(xiàn)安全問題，那么在“查別人”的場景下，由于軟件開發(fā)過程是在第三方環(huán)境下完成，因此在滿足這類場景需求時就會存在一定不足。

　　楊臨慶認為，“無論是企業(yè)自主研發(fā)（查自己）還是外包研發(fā)（查別人）的場景，對SAST的需求仍然比較廣泛。”

　　SAST+SCA構(gòu)成酷德啄木鳥

　　軟件供應(yīng)鏈安全解決方案兩大核心能力

　　談到酷德啄木鳥針對軟件供應(yīng)鏈安全的解決方案時，楊臨慶表示，從技術(shù)上來看，整個解決方案是建立在以SAST技術(shù)為核心的CodePecker源代碼缺陷分析系統(tǒng)，以及SCA軟件成分分析系統(tǒng)的基礎(chǔ)之上，前者是酷德啄木鳥成立以來一直持續(xù)打造的產(chǎn)品，而后者雖然自發(fā)布至今不足一年，但也是他們此前長期深入研發(fā)所得。

　　//CodePecker源代碼缺陷分析系統(tǒng)

　　據(jù)了解，基于B/S架構(gòu)研發(fā)的CodePecker源代碼缺陷分析系統(tǒng)自發(fā)布至今，當前已進化到7.0版本，是一款面向軟件開發(fā)生命周期管理的企業(yè)級安全解決方案，其主要功能包括檢測項目管理、源代碼缺陷分析、自動化檢測、全流程缺陷管理、源代碼安全評級、缺陷查詢定位、缺陷審計、代碼缺陷統(tǒng)計分析、檢測規(guī)則配置管理、檢測報告、函數(shù)白名單配置、檢測目標基線設(shè)置、Bug管理系統(tǒng)集成、代碼庫集成、缺陷知識庫等。

　　在檢測能力方面，CodePecker源代碼缺陷分析系統(tǒng)可支持對Java/JSP、C、C++、C#、PHP、Python、Objective-C、HTML、JavaScript、SQL等主流編程語言開發(fā)的軟件源代碼安全缺陷的檢測。同時，主要的語言檢測并不依賴具體的編譯器和開發(fā)環(huán)境，真正做到無需預(yù)編譯可直接分析源代碼。另外，該系統(tǒng)還具備對百萬行級別源代碼進行分析的能力。

　　在對源代碼安全缺陷和質(zhì)量缺陷的檢測。檢測結(jié)果涵蓋包括代碼注入、跨站腳本、緩沖區(qū)溢出、配置錯誤、API誤用、拒絕服務(wù)、未驗證的用戶輸入、弱加密問題、信息泄露、危險函數(shù)等在內(nèi)的1000多個缺陷類型。

　　楊臨慶表示，CodePecker在對目標軟件代碼進行語法、語義分析的技術(shù)上，輔以數(shù)據(jù)流分析、控制流分析、配置分析等特有的缺陷分析算法等高級靜態(tài)分析手段，CodePecker對目標系統(tǒng)進行檢測時，能提供過程內(nèi)（Intra-procedure）、過程間（Inter-procedure）等各種層次的分析，能夠高效地檢測出軟件源代碼中的可能導(dǎo)致嚴重缺陷漏洞和系統(tǒng)運行異常的安全缺陷。

　　由此可見，CodePecker源代碼缺陷分析系統(tǒng)在檢測能力方面，具有覆蓋編程語言廣、覆蓋缺陷類型全、檢測效率高等特點。在檢測項目管理方面，可支持以項目組形式進行代碼審計項目管理，并支持從發(fā)現(xiàn)、分配到最終解決缺陷的全生命周期管理。在應(yīng)用場景端可完全覆蓋包括外包項目及內(nèi)部項目的源代碼安全檢查、DevSecOps能力引入落地以及多工具整合等，令用戶可以根據(jù)自己的實際需要來進行和完成軟件開發(fā)及交付的安全建設(shè)。

　　//CodePecker軟件成分分析系統(tǒng)

　　作為軟件供應(yīng)鏈安全解決方案中不可缺少的一部分，酷德啄木鳥的CodePecker軟件成分分析系統(tǒng)通過分析目標軟件包含的一些信息和特征來實現(xiàn)對該軟件的識別、管理、追蹤的技術(shù)，能夠高效地檢測出軟件中的組件分布信息，識別有風(fēng)險的安全風(fēng)險，并準確定位告警，從而有效的幫助開發(fā)人員消除應(yīng)用中的漏洞、協(xié)議違禁、減少安全隱患。

　　據(jù)楊臨慶介紹，該系統(tǒng)也同樣基于公司的優(yōu)勢能力——靜態(tài)組件分析技術(shù)研發(fā)而來，雖然發(fā)布至今也不過才一年的時間，但已是一款成熟產(chǎn)品，目前也已經(jīng)迭代到3.0版本，其能力主要體現(xiàn)在以下幾點：

　　01 開源組件識別能力：由于擁有完善的知識庫體系，在漏洞庫方面，其內(nèi)置 CVE、CNNVD、CNVD、多社區(qū)漏洞庫，支持多漏洞庫聯(lián)合查找；在組件庫方面，其可覆蓋超過300萬條的開源組件信息，超過4000萬的組件版本信息；在協(xié)議庫方面，其可支持400+條協(xié)議檢查。另外，在介質(zhì)分析方面，該系統(tǒng)對包括二進制、源代碼、BOM等均可提供支持。

　　02 組件風(fēng)險識別能力：根據(jù)組件特征識別組件是否存在既有安全風(fēng)險，并提供修復(fù)建議，保障應(yīng)用基礎(chǔ)安全。

　　03 組件合規(guī)風(fēng)險識別能力：識別應(yīng)用中不兼容的License，避免知識產(chǎn)權(quán)風(fēng)險。

　　04 引擎支持JAVA、C、C++、Python、Golang等主流編程語言代碼片段進行識別，結(jié)合開源代碼數(shù)據(jù)庫，能夠識別代碼中的開源代碼成分結(jié)合，并分析這些開源代碼可能帶來的安全問題和授權(quán)風(fēng)險。

　　05 支持代碼上傳、客戶端識別、特征識別等多種分析方式；支持系統(tǒng)組件資產(chǎn)管理，提供詳盡的系統(tǒng)組件構(gòu)成信息。

　　總體而言，國內(nèi)市場上的SCA產(chǎn)品當前已經(jīng)比較豐富，酷德啄木鳥的SCA軟件成分分析系統(tǒng)的優(yōu)勢主要受益于該公司在靜態(tài)組件分析技術(shù)領(lǐng)域的深厚積累，在準確性、掃描效率、覆蓋范圍等方面具備較強優(yōu)勢，同時，該系統(tǒng)還具備豐富的API接口，利于實現(xiàn)對其他系統(tǒng)的無縫集成，并可提供多種使用方式，在兼容性以及易用性等方面，也有不俗表現(xiàn)。

　　在這兩款核心產(chǎn)品的基礎(chǔ)上，針對“查別人”和“查自己”這兩大應(yīng)用場景及相關(guān)需求，酷德啄木鳥也推出了相應(yīng)的解決方案。

　　面向“查別人”場景的安全解決方案

　　該解決方案的產(chǎn)品主要包含CodePecker源代碼缺陷分析系統(tǒng)、CodePecker軟件成分分析系統(tǒng)以及代碼管理系統(tǒng)。

　　前兩款產(chǎn)品已了解過，我們此處主要了解一下代碼管理系統(tǒng)。在“查別人”場景下，由于開發(fā)工作均由外包團隊完成，因此這類用戶群體普遍缺少代碼管理工具，為配合靜態(tài)測試，往往需要安裝一套GitLab或相關(guān)類似工具，然后將代碼上傳上去后再進行測試。這種方法雖然沒有什么太大的問題，但對無開發(fā)團隊的用戶而言，GitLab這種工具還是顯得過重，很多功能等其實并不需要。

　　因此，酷德啄木鳥推出了輕量化的代碼管理系統(tǒng)，除了基礎(chǔ)的代碼加密存儲以及版本管理功能之外，當版本發(fā)生變更時，該系統(tǒng)會主動對接CodePecker源代碼缺陷分析系統(tǒng)以及CodePecker軟件成分分析系統(tǒng)進行測試，并且在掃描測試、出具測試報告等方面全部實現(xiàn)了自動化。在軟件開發(fā)供應(yīng)商根據(jù)測試報告結(jié)果進行修正，并將更新后的代碼傳入該系統(tǒng)后，系統(tǒng)可自動對其更新后的版本進行復(fù)測，無問題后即可驗收入庫。

　　面向“查自己”場景的安全解決方案

　　該解決方案除CodePecker源代碼缺陷分析系統(tǒng)、CodePecker軟件成分分析系統(tǒng)之外，還包含CodePecker Finder交互式測試系統(tǒng)（IAST）以及應(yīng)用自保護系統(tǒng)（RASP）。

　　這一套解決方案的能力就比較好理解，CodePecker Finder交互式測試系統(tǒng)的加入，可以更好地與CodePecker源代碼缺陷分析系統(tǒng)形成優(yōu)勢互補，在客戶側(cè)形成以DAST為主、IAST為輔的工具組合，應(yīng)用自保護系統(tǒng)（RASP）則與之聯(lián)動，當軟件應(yīng)用遭受攻擊時，先行提供防護能力，為最終的徹底修復(fù)提供一定的時間窗口。

　　需要指出的是，單獨依靠DAST或IAST工具，也無法保障能夠百分百的保證所有風(fēng)險都能檢測出來，RASP工具也并不能保障軟件應(yīng)用的風(fēng)險得到徹底的根治，因此必須要依靠各個產(chǎn)品的整合聯(lián)動。楊臨慶表示，當RASP在軟件應(yīng)用遭受攻擊啟動防護時，如果導(dǎo)致該攻擊的問題是此前測試階段未檢測出來的，那么相關(guān)的問題代碼便可以依靠整體解決方案的聯(lián)動能力，自動與CodePecker源代碼缺陷分析系統(tǒng)匹配、查找并展現(xiàn)出來，以利于后期徹底修復(fù)。

　　在軟件供應(yīng)鏈安全建設(shè)中，必須要結(jié)合自身實際情況來進行合理規(guī)劃，酷德啄木鳥根據(jù)“查別人”及“查自己”的兩大主流應(yīng)用場景，通過將自身旗下產(chǎn)品進行組合、聯(lián)動，最終形成了兩套面向不同用戶群體的解決方案，在滿足用戶需求的同時，在解決問題的能力方面也更具針對性，對于企業(yè)用戶在軟件供應(yīng)鏈安全建設(shè)方面在能力、效率、效果以及成本控制等多方面都有著不俗表現(xiàn)。

　　企業(yè)用戶對軟件供應(yīng)鏈安全意識不斷提升

　　安全還需進一步左移

　　楊臨慶表示，自己能充分感受到2017年以來，國內(nèi)對代碼安全的重視程度在不斷提升，用戶對于相關(guān)技術(shù)、工具等等以及所能帶來的好處、對開源組件風(fēng)險以及商業(yè)版本授權(quán)相關(guān)的安全意識都在顯著提高，這對我國開發(fā)安全或軟件供應(yīng)鏈安全的整體促進非常有益，但同時也應(yīng)看到仍有一些問題尚待解決。

　　在他看來，所謂安全左移，目前更多的也只是將安全嵌入到開發(fā)階段之中，但從整體安全角度看，還應(yīng)再進一步左移。這里具體是指軟件進入開發(fā)階段之前的規(guī)劃階段，在選擇框架時就應(yīng)確定與之相應(yīng)的一些商業(yè)版本信息、漏洞信息、維護信息等，以盡可能的保證在進入開發(fā)階段之前即可大幅減少甚至規(guī)避有風(fēng)險的框架、組件，更進一步地降低開發(fā)階段的安全風(fēng)險?！霸谡麄€軟件開發(fā)生命周期中，安全介入得越早，對于后期過程中的保障也會更好，這也是我們未來會投入的一個方向之一?！睏钆R慶表示，后期會進一步增強與應(yīng)用DevOps的廠商合作，以能夠在其構(gòu)建DevOps的過程中就能將相關(guān)的安全工具、產(chǎn)品融入，以更好保障用戶的整體軟件供應(yīng)鏈安全。

　　除此之外，他還談到了酷德啄木鳥會在未來關(guān)注的兩個方面，一是面向用戶群體中仍大量存在的老硬件要給予足夠的支撐。一些客戶由于自身的客觀情況，短時間內(nèi)無法全面替換成新的設(shè)備，尤其是其中還有一些軟件直接固化在硬件之中的老產(chǎn)品，目前業(yè)內(nèi)尚無法很好的解決它們自身所存在的安全問題，因此，酷德啄木鳥已經(jīng)著手規(guī)劃相關(guān)產(chǎn)品功能，以滿足此類用戶所需；二是開發(fā)安全及軟件供應(yīng)鏈安全等相關(guān)產(chǎn)品、解決方案需要加強與信創(chuàng)相關(guān)軟硬件兼容能力，要做到X86+Windows系統(tǒng)與Arm+國產(chǎn)化操作系統(tǒng)并行，隨著信創(chuàng)產(chǎn)業(yè)的不斷發(fā)展，未來相信會有不少用戶群體將逐步融入到信創(chuàng)體系中去，由此也會在需求側(cè)產(chǎn)生變化，因此從長遠趨勢來看，加強與信創(chuàng)的適配和聯(lián)動，將是未來包括軟件供應(yīng)鏈安全在內(nèi)的諸多安全解決方案都應(yīng)重點關(guān)注的方向之一。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<