软件成分分析SCA关键技术解析

文章预览

数字时代的软件开发普遍遵循敏捷实践，发布和部署周期都很短，开发团队非常依赖开源来加速创新迭代速度。因此， 对团队项目中包含的每个开源组件进行跟踪非常重要，可以避免法律风险，保持强大的安全态势 。 在DevSecOps环境中，SCA可以明确开源组件的可见性，帮助企业精准把控开源组件风险，避免软件带病上线。近年来，SCA逐渐成为企业软件治理的“必备神器”，强大能力的背后离不开关键技术的支撑，开源网安在为上百家客户服务的实践中认为， 软件成分分析技术、组件多链路依赖分析技术、二进制分析、漏洞级代码溯源分析、函数级漏洞可达性定位检测等几大技术是决定SCA检测能力的关键， 本期我们将对这些关键技术进行深入解析。 基于包管理器的SCA分析技术 通过对目标检测对象的配置文件及应用包中存在的二进制引入包进行扫描 ………………………………