杭州都市網

近日，國際權威咨詢機構Forrester發(fā)布了《軟件成分分析格局，2024年第二季度（Software Composition Analysis Landscape, Q2 2024）》報告，報告概述了21家軟件構成分析廠商的不同領域、地域側重點，騰訊云憑借在軟件成分分析領域的技術探索與能力沉淀，入選該報告著名廠商名單。

在報告中，F(xiàn)orrester 將 SCA（軟件成分分析，Software Composition Analysis）定義為在不執(zhí)行應用程序的情況下對其進行掃描，以生成所有開源和第三方組件清單的產品。這種掃描可用于識別漏洞、許可風險、沖突和不合規(guī)使用，指導用戶在何處以及如何補救這些缺陷，幫助用戶在將健康安全的組件納入應用程序之前進行選擇，并創(chuàng)建清單記錄。

Forrester 表示，在選擇 SCA 供應商時，必須考慮供應商的規(guī)模、產品類型、能力以及地域和用例差異，以確保所選工具滿足企業(yè)的特定需求。通過利用相關報告，深入了解不同供應商的價值和差異及其規(guī)模和市場重點，可以更有效地管理軟件供應鏈，降低風險，確保軟件產品的安全性和合規(guī)性。

科恩實驗室基于多年開發(fā)安全能力，推出以源碼/二進制軟件成分分析為核心的檢測平臺 BSCA，幫助用戶建立開發(fā)安全體系，輸出軟件物料清單，解決供應鏈安全及開源合規(guī)問題。

騰訊云SCA產品包含源代碼組件成分分析引擎、二進制制品成分分析引擎，支持 20+文件格式，包括各類二進制固件包、鏡像、壓縮文件等。支持 Linux、Android、QNX、RTOS 等系統(tǒng)，支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架構，專注于解決企業(yè)內引入的開源軟件及軟件供應鏈的安全風險問題，全面適應企業(yè)軟件開發(fā)運維的各類場景。

與傳統(tǒng)SCA工具相比，騰訊云SCA工具最大的優(yōu)勢有兩點：一、多年的二進制固件分析經驗，國內外的各類安全獎項；二、多行業(yè)、多場景的用戶需求的積累，與國內標桿合規(guī)檢測機構合作。

同時，在二進制安全智能分析平臺BinaryAI核心能力加持下，騰訊云SCA工具的特色在于其智能分析引擎可支持軟件成分分析和惡意軟件分析，對用戶上傳的二進制文件，BinaryAI可以在GitHub全量C/C++庫范圍中做相似性檢索，以業(yè)界領先的識別準確率匹配到文件所使用的開源組件。SCA產品在本地鏡像漏洞掃描（Docker Image Scan）方面是采取以下策略：

首先，工具能夠識別容器鏡像中的安全漏洞，并提供修復建議，同時識別依賴組件的許可證類型，評估合規(guī)風險。此外，SCA工具生成詳盡的軟件物料清單（SBOM），清晰展示組件間的依賴關系，為軟件供應鏈的安全管理提供數(shù)據(jù)支持，并進行全面的安全審計，檢測基線風險和敏感數(shù)據(jù)泄露等問題。

在掃描時機上，SCA工具能夠抓住以下關鍵節(jié)點進行操作：開發(fā)人員在編譯得到鏡像文件后立即進行安全檢測，確保問題能在早期被發(fā)現(xiàn)和解決；與制品庫或鏡像倉庫對接，對所有入庫鏡像進行全量掃描；與CI流水線集成，實現(xiàn)代碼提交或構建過程中的自動觸發(fā)掃描任務；以及在軟件供應商提供鏡像文件時，進行風險檢查并生成SBOM。

通過這些全面且高效的策略和時機的合理安排，SCA工具不僅提高了開發(fā)效率，還確保了鏡像的安全性和合規(guī)性，為軟件開發(fā)和部署提供了堅實的安全保障。

事實上，軟件供應鏈安全不僅是技術層面的問題，它包括軟件供應鏈上軟件設計與開發(fā)的各個階段中來自本身的編碼過程、工具、設備或供應鏈上游的代碼、模塊和服務的安全，以及軟件交付渠道和使用安全的總和。正如Forrester指出的那樣，SCA是任何保護軟件供應鏈的安全計劃的基礎部分，但僅靠SCA是不夠的。

科恩實驗室提供了全面的解決方案來應對供應鏈安全的各種場景。首先，科恩安全審計套件通過深入的軟件組件來源分析和簽名驗證，確保供應鏈中的組件和代碼未被篡改或包含惡意軟件來防御軟件供應鏈攻擊。

其次，科恩的第三方風險管理功能通過評估和監(jiān)控第三方服務和組件的安全性與合規(guī)性，包括定期的安全評估和合規(guī)性審查，以減少供應鏈帶來的風險。科恩安全審計套件擁有億級別的組件知識庫，為軟件資產中的風險提供專業(yè)的修復建議。

軟件供應鏈安全市場在蓬勃發(fā)展的同時，也逐步趨于復雜化和多樣化，面對愈演愈烈的開源安全境況以及更復雜的安全威脅，騰訊安全科恩實驗室基于大模型研發(fā)將持續(xù)不斷調整解決方案，采用更加全面的軟件供應鏈安全策略，覆蓋更多軟件形態(tài)和開發(fā)語言。未來，騰訊安全也將攜手產業(yè)生態(tài)伙伴，共筑軟件供應鏈安全生態(tài)。