四款SCA工具漏洞檢出能力測(cè)評(píng)

蜚語(yǔ)科技

+ 關(guān)注

2023-01-06 15:23

1413次閱讀

本次內(nèi)容源自近期開(kāi)源安全研究院公眾號(hào)《四款SCA工具漏洞檢出能力測(cè)評(píng)》文章（本次僅對(duì)工具的漏洞檢出能力進(jìn)行測(cè)評(píng)），檢出結(jié)果表明，探方在C/C++語(yǔ)言依賴解析能力上的領(lǐng)先優(yōu)勢(shì)極為突出，其他語(yǔ)言依賴解析能力均衡。

以下為原文測(cè)評(píng)詳細(xì)內(nèi)容：

SCA工具介紹

探方

探方是 Scantist自主研發(fā)的軟件成分分析工具（Software Composition Analysis，SCA），旨在幫助您管理源代碼和二進(jìn)制項(xiàng)目中開(kāi)源庫(kù)的安全和法律合規(guī)風(fēng)險(xiǎn)，進(jìn)一步讓您充分了解：正在使用哪些開(kāi)源組件；哪些開(kāi)源組件易受攻擊；哪些開(kāi)源組件有合規(guī)風(fēng)險(xiǎn)。

為了更廣泛支持不同的程序語(yǔ)言及客戶需求，探方（Scantist SCA）對(duì)于種類繁雜的語(yǔ)言及二進(jìn)制格式均能實(shí)現(xiàn)精準(zhǔn)檢測(cè)，支持C/C++,Java,JavaScript,Python,PHP,Ruby,Go等十多種主流語(yǔ)言，并為所有常用語(yǔ)言提供一站式服務(wù)，降低運(yùn)維成本和復(fù)雜度。

SourceCheck

開(kāi)源組件安全及合規(guī)管理平臺(tái)(SourceCheck)是開(kāi)源網(wǎng)安自主研發(fā)的軟件成分分析(SCA)產(chǎn)品，用于第三方組件的安全分析與管控，包括企業(yè)組件使用管理、組件使用合規(guī)審計(jì)、新漏洞感知預(yù)警、開(kāi)源代碼知識(shí)產(chǎn)權(quán)審計(jì)等，可實(shí)現(xiàn)對(duì)源碼與制品的精準(zhǔn)分析，是幫助企業(yè)實(shí)現(xiàn)開(kāi)源風(fēng)險(xiǎn)治理的最佳工具。

Seal

Seal是一款軟件供應(yīng)鏈防火墻軟件。Seal旨在為企業(yè)提供代碼安全、構(gòu)建安全、依賴項(xiàng)安全及運(yùn)行環(huán)境安全等4大防護(hù)，通過(guò)全鏈路掃描、問(wèn)題關(guān)聯(lián)及風(fēng)險(xiǎn)組織的方式保護(hù)企業(yè)軟件供應(yīng)鏈安全，降低企業(yè)安全漏洞修復(fù)成本。通過(guò)Seal軟件供應(yīng)鏈防火墻，用戶可以獲得軟件開(kāi)發(fā)生命周期各個(gè)環(huán)節(jié)的可見(jiàn)性，進(jìn)而以全局視角管理軟件供應(yīng)鏈。

OSV-Scanner

OSV-Scanner是Google發(fā)布的一個(gè)為開(kāi)源分布式數(shù)據(jù)庫(kù)OSV.dev提供的一個(gè)官方支持的前端工具，能夠?qū)㈨?xiàng)目的依賴項(xiàng)目列表，和影響項(xiàng)目的漏洞相關(guān)聯(lián)。可以通過(guò)比對(duì)依賴項(xiàng)目和 OSV 漏洞資料庫(kù)，找出項(xiàng)目的依賴項(xiàng)目中所存在的漏洞。Google 提到，OSV-Scanner 能夠生成可靠、高品質(zhì)的漏洞資訊，以縮小開(kāi)發(fā)人員軟件組件列表和 OSV 資料庫(kù)中的漏洞信息落差。

測(cè)評(píng)項(xiàng)目

本次測(cè)評(píng)的測(cè)試樣本均為gitee/github上的開(kāi)源項(xiàng)目，選取一下四種熱門編程語(yǔ)言各4個(gè)項(xiàng)目作為測(cè)試樣本。

四款SCA工具漏洞檢出能力測(cè)評(píng)