小议SCA漏洞可达性分析

2024-03-19 03:52

本文主要是介绍小议SCA漏洞可达性分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

        开源治理中普遍采用SCA工具即软件成分分析工具进行开源组件及其漏洞分析,而随着SCA工具在供应链安全中的运用,越来越多的企业发现一个问题,就是SCA检测报告中大量的漏洞是否可以被验证、可以被利用。于是漏洞可达性便被提到了日程上,从衡量一款漏洞检测工具普遍采用假阳性(误报)率和假阴性率(漏报)来度量的话,不能简单的认为就是误报,更不是漏报,因为从包含关系上来讲,不管是直接依赖还是间接依赖的组件,这些组件被我们的系统存在关系,但是这些组件有的被调用,有的只是在构建配置文件中包括进来了,但是实际上并没有被真正调用。 或者更一步来说,某个漏洞只是存在某个开源组件的某个方法中,而这个方法是否被调用了呢?只有被调用才存在漏洞被利用的可能性。而对于组件粒度,还是方法/函数粒度,通过构建配置文件分析的检测引擎应该是很难实现可达性分析的,只有采用同源分析技术的检测引擎,或者采用两种引擎相结合的SCA工具,才具备了可达性分析的必要条件,因为要做可达性分析,必然要做某个方法是否被调用,那函数是否与含有漏洞的组件中函数一致或相似,就需要运用同源分析技术,且代码指纹要做到函数级。

       采用同源分析只是一个条件,还做到可达性分析,必然要对整个项目做调用关系分析,也就是做一个逆向工程,如果绘制出整个被检测系统的函数调用图是否就意味着可以判断漏洞可以被触发呢?不尽然。因为存在调用关系但不意味着在数据流、控制流上一定可以执行到该存在某个漏洞的函数。因为如果这个函数是不可达代码呢,逻辑上是无法满足调用该函数的条件呢?所以需要静态分析中的图可达分析等相关的分析,才能真正判断出漏洞可达性。所以说,SCA工具要实现漏洞可达性分析,必然离不开SAST工具分析中产生的函数调用图,控制流图等。如果厂商SAST工具无法产生这些输出,那就算SCA工具和SAST工具结合,漏洞可达性分析实现上也是很难做到得的。

下面是库博SCA工具在实现中产生的函数调用图。

(结束)

这篇关于小议SCA漏洞可达性分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/824699

相关文章

Java程序进程起来了但是不打印日志的原因分析

《Java程序进程起来了但是不打印日志的原因分析》:本文主要介绍Java程序进程起来了但是不打印日志的原因分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java程序进程起来了但是不打印日志的原因1、日志配置问题2、日志文件权限问题3、日志文件路径问题4、程序

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字

Python 迭代器和生成器概念及场景分析

《Python迭代器和生成器概念及场景分析》yield是Python中实现惰性计算和协程的核心工具,结合send()、throw()、close()等方法,能够构建高效、灵活的数据流和控制流模型,这... 目录迭代器的介绍自定义迭代器省略的迭代器生产器的介绍yield的普通用法yield的高级用法yidle

C++ Sort函数使用场景分析

《C++Sort函数使用场景分析》sort函数是algorithm库下的一个函数,sort函数是不稳定的,即大小相同的元素在排序后相对顺序可能发生改变,如果某些场景需要保持相同元素间的相对顺序,可使... 目录C++ Sort函数详解一、sort函数调用的两种方式二、sort函数使用场景三、sort函数排序

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

C++ 各种map特点对比分析

《C++各种map特点对比分析》文章比较了C++中不同类型的map(如std::map,std::unordered_map,std::multimap,std::unordered_multima... 目录特点比较C++ 示例代码 ​​​​​​代码解释特点比较1. std::map底层实现:基于红黑