近年來，軟件供應鏈安全事件層出不窮，所制造的危害程度愈加嚴重，作為數字化社會發展的基本要素之一，軟件安全也開始與社會安全密切相關，無論是對開發者還是使用者，都開始對軟件以及軟件供應鏈安全給予重視，關于如何有效緩解此類安全問題，業內普遍認為應采用安全左移的思路——將安全嵌入至整個軟件開發生命周期中，事實也證明這一方式的確有效，在面向軟件供應鏈安全方面，國內也有多家廠商推出了相關解決方案，本期《軟件供應鏈安全解決方案》的主角則是一家長期專注于該安全領域的專業廠商——酷德啄木鳥。

　　據了解，酷德啄木鳥成立于2013年，在9年的發展歷程之中，他們一直專注于軟件源代碼信息安全領域，有著豐富的技術積累和實戰經驗。酷德啄木鳥總經理楊臨慶告訴我們，在2016年以前，他們一直都在潛心于靜態檢測工具的自主研發工作，旗下CodePecker源代碼缺陷分析系統更是國內第一款完全自主知識產權的商用源代碼檢測產品。隨著軟件開發安全趨勢的不斷變化，酷德啄木鳥目前基于靜態檢測技術的核心能力，在對已有產品、服務不斷迭代升級的同時，也不斷完善和豐富產品布局，推出了更多相關領域的安全產品，如去年11月，他們發布了可為用戶提供包括軟件成分組成及統計分析、軟件依賴組件合規檢測、軟件依賴組件漏洞識別以及軟件成分分析項目管理等多重安全管理功能的SCA軟件成分分析系統。

　　總體而言，相較于國內諸多該領域的新興廠商，酷德啄木鳥在DevSecOps全系工具鏈的產品布局方面已經趨于完備，除了前面所以到的CodePecker源代碼缺陷分析系統（SAST）和SCA軟件成分分析系統之外，還有包括交互式測試系統CodePecker Finder（IAST）、動態檢測工具（DAST）、應用自保護系統（RASP），實現為用戶提供完善且覆蓋完整開發生命周期的安全解決方案。

　　軟件供應鏈安全解決方案

　　需覆蓋“查別人”與“查自己”兩大場景

　　在談到軟件供應鏈安全的客戶需求層面這一話題時，楊臨慶表示，“如果從應用場景的角度去看，我們認為可以簡單直觀的劃分為兩類，一是‘查別人’，二是‘查自己’，那么與之相對應的客戶需求都是軟件供應鏈安全解決方案所應該覆蓋和滿足的。”

　　● 查別人，指的是軟件由企業交給外部團隊或其他企業來進行開發，該類用戶群體最大的痛點是希望能夠在軟件交付環節真正實現安全性驗收，能夠充分保障圍繞該軟件的相關業務能夠持續安全穩定運行。

　　● 查自己，指的是軟件有企業內部研發、開發部門或團隊進行，此類用戶群體的需求則主要側重于在將安全引入到完整的軟件開發周期中。

　　值得一提的是，相對于更多專注于IAST、RASP相關技術的新興廠商，酷德啄木鳥得益于自身長期在SAST領域的技術積累，從而在覆蓋“查別人”這一需求層面具備強大優勢。盡管IAST在性能、漏報率、以及誤報率方面具有較強優勢，但考慮其依賴于在開發、測試過程中插樁以收集相關安全信息并發現安全問題，那么在“查別人”的場景下，由于軟件開發過程是在第三方環境下完成，因此在滿足這類場景需求時就會存在一定不足。

　　楊臨慶認為，“無論是企業自主研發（查自己）還是外包研發（查別人）的場景，對SAST的需求仍然比較廣泛。”

　　SAST+SCA構成酷德啄木鳥

　　軟件供應鏈安全解決方案兩大核心能力

　　談到酷德啄木鳥針對軟件供應鏈安全的解決方案時，楊臨慶表示，從技術上來看，整個解決方案是建立在以SAST技術為核心的CodePecker源代碼缺陷分析系統，以及SCA軟件成分分析系統的基礎之上，前者是酷德啄木鳥成立以來一直持續打造的產品，而后者雖然自發布至今不足一年，但也是他們此前長期深入研發所得。

　　//CodePecker源代碼缺陷分析系統

　　據了解，基于B/S架構研發的CodePecker源代碼缺陷分析系統自發布至今，當前已進化到7.0版本，是一款面向軟件開發生命周期管理的企業級安全解決方案，其主要功能包括檢測項目管理、源代碼缺陷分析、自動化檢測、全流程缺陷管理、源代碼安全評級、缺陷查詢定位、缺陷審計、代碼缺陷統計分析、檢測規則配置管理、檢測報告、函數白名單配置、檢測目標基線設置、Bug管理系統集成、代碼庫集成、缺陷知識庫等。

　　在檢測能力方面，CodePecker源代碼缺陷分析系統可支持對Java/JSP、C、C++、C#、PHP、Python、Objective-C、HTML、JavaScript、SQL等主流編程語言開發的軟件源代碼安全缺陷的檢測。同時，主要的語言檢測并不依賴具體的編譯器和開發環境，真正做到無需預編譯可直接分析源代碼。另外，該系統還具備對百萬行級別源代碼進行分析的能力。

　　在對源代碼安全缺陷和質量缺陷的檢測。檢測結果涵蓋包括代碼注入、跨站腳本、緩沖區溢出、配置錯誤、API誤用、拒絕服務、未驗證的用戶輸入、弱加密問題、信息泄露、危險函數等在內的1000多個缺陷類型。

　　楊臨慶表示，CodePecker在對目標軟件代碼進行語法、語義分析的技術上，輔以數據流分析、控制流分析、配置分析等特有的缺陷分析算法等高級靜態分析手段，CodePecker對目標系統進行檢測時，能提供過程內（Intra-procedure）、過程間（Inter-procedure）等各種層次的分析，能夠高效地檢測出軟件源代碼中的可能導致嚴重缺陷漏洞和系統運行異常的安全缺陷。

　　由此可見，CodePecker源代碼缺陷分析系統在檢測能力方面，具有覆蓋編程語言廣、覆蓋缺陷類型全、檢測效率高等特點。在檢測項目管理方面，可支持以項目組形式進行代碼審計項目管理，并支持從發現、分配到最終解決缺陷的全生命周期管理。在應用場景端可完全覆蓋包括外包項目及內部項目的源代碼安全檢查、DevSecOps能力引入落地以及多工具整合等，令用戶可以根據自己的實際需要來進行和完成軟件開發及交付的安全建設。

　　//CodePecker軟件成分分析系統

　　作為軟件供應鏈安全解決方案中不可缺少的一部分，酷德啄木鳥的CodePecker軟件成分分析系統通過分析目標軟件包含的一些信息和特征來實現對該軟件的識別、管理、追蹤的技術，能夠高效地檢測出軟件中的組件分布信息，識別有風險的安全風險，并準確定位告警，從而有效的幫助開發人員消除應用中的漏洞、協議違禁、減少安全隱患。

　　據楊臨慶介紹，該系統也同樣基于公司的優勢能力——靜態組件分析技術研發而來，雖然發布至今也不過才一年的時間，但已是一款成熟產品，目前也已經迭代到3.0版本，其能力主要體現在以下幾點：

　　01 開源組件識別能力：由于擁有完善的知識庫體系，在漏洞庫方面，其內置 CVE、CNNVD、CNVD、多社區漏洞庫，支持多漏洞庫聯合查找；在組件庫方面，其可覆蓋超過300萬條的開源組件信息，超過4000萬的組件版本信息；在協議庫方面，其可支持400+條協議檢查。另外，在介質分析方面，該系統對包括二進制、源代碼、BOM等均可提供支持。

　　02 組件風險識別能力：根據組件特征識別組件是否存在既有安全風險，并提供修復建議，保障應用基礎安全。

　　03 組件合規風險識別能力：識別應用中不兼容的License，避免知識產權風險。

　　04 引擎支持JAVA、C、C++、Python、Golang等主流編程語言代碼片段進行識別，結合開源代碼數據庫，能夠識別代碼中的開源代碼成分結合，并分析這些開源代碼可能帶來的安全問題和授權風險。

　　05 支持代碼上傳、客戶端識別、特征識別等多種分析方式；支持系統組件資產管理，提供詳盡的系統組件構成信息。

　　總體而言，國內市場上的SCA產品當前已經比較豐富，酷德啄木鳥的SCA軟件成分分析系統的優勢主要受益于該公司在靜態組件分析技術領域的深厚積累，在準確性、掃描效率、覆蓋范圍等方面具備較強優勢，同時，該系統還具備豐富的API接口，利于實現對其他系統的無縫集成，并可提供多種使用方式，在兼容性以及易用性等方面，也有不俗表現。

　　在這兩款核心產品的基礎上，針對“查別人”和“查自己”這兩大應用場景及相關需求，酷德啄木鳥也推出了相應的解決方案。

　　面向“查別人”場景的安全解決方案

　　該解決方案的產品主要包含CodePecker源代碼缺陷分析系統、CodePecker軟件成分分析系統以及代碼管理系統。

　　前兩款產品已了解過，我們此處主要了解一下代碼管理系統。在“查別人”場景下，由于開發工作均由外包團隊完成，因此這類用戶群體普遍缺少代碼管理工具，為配合靜態測試，往往需要安裝一套GitLab或相關類似工具，然后將代碼上傳上去后再進行測試。這種方法雖然沒有什么太大的問題，但對無開發團隊的用戶而言，GitLab這種工具還是顯得過重，很多功能等其實并不需要。

　　因此，酷德啄木鳥推出了輕量化的代碼管理系統，除了基礎的代碼加密存儲以及版本管理功能之外，當版本發生變更時，該系統會主動對接CodePecker源代碼缺陷分析系統以及CodePecker軟件成分分析系統進行測試，并且在掃描測試、出具測試報告等方面全部實現了自動化。在軟件開發供應商根據測試報告結果進行修正，并將更新后的代碼傳入該系統后，系統可自動對其更新后的版本進行復測，無問題后即可驗收入庫。

　　面向“查自己”場景的安全解決方案

　　該解決方案除CodePecker源代碼缺陷分析系統、CodePecker軟件成分分析系統之外，還包含CodePecker Finder交互式測試系統（IAST）以及應用自保護系統（RASP）。

　　這一套解決方案的能力就比較好理解，CodePecker Finder交互式測試系統的加入，可以更好地與CodePecker源代碼缺陷分析系統形成優勢互補，在客戶側形成以DAST為主、IAST為輔的工具組合，應用自保護系統（RASP）則與之聯動，當軟件應用遭受攻擊時，先行提供防護能力，為最終的徹底修復提供一定的時間窗口。

　　需要指出的是，單獨依靠DAST或IAST工具，也無法保障能夠百分百的保證所有風險都能檢測出來，RASP工具也并不能保障軟件應用的風險得到徹底的根治，因此必須要依靠各個產品的整合聯動。楊臨慶表示，當RASP在軟件應用遭受攻擊啟動防護時，如果導致該攻擊的問題是此前測試階段未檢測出來的，那么相關的問題代碼便可以依靠整體解決方案的聯動能力，自動與CodePecker源代碼缺陷分析系統匹配、查找并展現出來，以利于后期徹底修復。

　　在軟件供應鏈安全建設中，必須要結合自身實際情況來進行合理規劃，酷德啄木鳥根據“查別人”及“查自己”的兩大主流應用場景，通過將自身旗下產品進行組合、聯動，最終形成了兩套面向不同用戶群體的解決方案，在滿足用戶需求的同時，在解決問題的能力方面也更具針對性，對于企業用戶在軟件供應鏈安全建設方面在能力、效率、效果以及成本控制等多方面都有著不俗表現。

　　企業用戶對軟件供應鏈安全意識不斷提升

　　安全還需進一步左移

　　楊臨慶表示，自己能充分感受到2017年以來，國內對代碼安全的重視程度在不斷提升，用戶對于相關技術、工具等等以及所能帶來的好處、對開源組件風險以及商業版本授權相關的安全意識都在顯著提高，這對我國開發安全或軟件供應鏈安全的整體促進非常有益，但同時也應看到仍有一些問題尚待解決。

　　在他看來，所謂安全左移，目前更多的也只是將安全嵌入到開發階段之中，但從整體安全角度看，還應再進一步左移。這里具體是指軟件進入開發階段之前的規劃階段，在選擇框架時就應確定與之相應的一些商業版本信息、漏洞信息、維護信息等，以盡可能的保證在進入開發階段之前即可大幅減少甚至規避有風險的框架、組件，更進一步地降低開發階段的安全風險。“在整個軟件開發生命周期中，安全介入得越早，對于后期過程中的保障也會更好，這也是我們未來會投入的一個方向之一。”楊臨慶表示，后期會進一步增強與應用DevOps的廠商合作，以能夠在其構建DevOps的過程中就能將相關的安全工具、產品融入，以更好保障用戶的整體軟件供應鏈安全。

　　除此之外，他還談到了酷德啄木鳥會在未來關注的兩個方面，一是面向用戶群體中仍大量存在的老硬件要給予足夠的支撐。一些客戶由于自身的客觀情況，短時間內無法全面替換成新的設備，尤其是其中還有一些軟件直接固化在硬件之中的老產品，目前業內尚無法很好的解決它們自身所存在的安全問題，因此，酷德啄木鳥已經著手規劃相關產品功能，以滿足此類用戶所需；二是開發安全及軟件供應鏈安全等相關產品、解決方案需要加強與信創相關軟硬件兼容能力，要做到X86+Windows系統與Arm+國產化操作系統并行，隨著信創產業的不斷發展，未來相信會有不少用戶群體將逐步融入到信創體系中去，由此也會在需求側產生變化，因此從長遠趨勢來看，加強與信創的適配和聯動，將是未來包括軟件供應鏈安全在內的諸多安全解決方案都應重點關注的方向之一。

更多信息可以來這里獲取==>>電子技術應用-AET<<