软件成分安全分析(SCA)能力的建设与演进研究

在维护软件供应链的安全性方面,软件成分安全分析(SCA)技术起到了至关重要的作用。通过建设SCA模型、基础设施与工具的部署、制定安全策略和合规要求等路径,能够显著增强软件的安全防护能力。该文深入剖析了SCA能力从起步阶段到现代化全面升级的整个演进过程,并对即将到来的创新机遇与挑战进行了展望。

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一.由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势.本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望.

软件安全的多指标综合评测

文章提出了一种新的软件安全评测方法。通过对软件安全的实际研究和分析提取出典型的评测指标,并将层次分析法AHP(AnalyticHierarchyProcess),主成分分析法PCA(PrincipalComponentAnalysis)和聚类分析法CA(ClusterAnalysis)三者结合进行评测。首先采用AHP通过定量分析确定指标权重;之后采用PCA,通过线性变换,在保留大部分原始信息的前提下,把加权后的指标重新组合成一组无关的综合指标并进行分析;最后采用CA对PCA的分析结果进一步研究并根据用户需求将软件分为指定数目的类别从而使结果更加直观。实际的评测结果表明这一方法可以对软件的安全性进行正确有效的评测。

《网络安全等级保护测评报告模板(2019版)》应用研究

随着国家对软件产业发展愈加重视,各行业已逐渐认识到提高软件质量对我国网络安全保障的重要作用。作为我国网络安全保障的重要手段,等级保护对自行开发软件提出了要执行软件安全性测试的明确要求。在软件开发过程中使用开源组件已成为软件开发的必然趋势,因开源组件自身安全缺陷而导致软件系统发生网络安全事件的情况也与日俱增。文章结合2019版测评报告模板,针对软件成分进行分析,提出了可行的应用方法。

开源组件安全面对安全左移带来的挑战研究

目前,很多软件由共享的开源组件组成,一旦某个组件出现安全问题,将造成重大影响。为了解在安全左移条件下通过软件成分分析(SCA)方法得到的开源组件安全状况误差及其产生的原因,梳理开源组件安全测试在安全左移中的常见场景,并基于此构建测试用例。选择蜕变测试方法,使用SCA工具进行安全测试并统计分析。实验结果显示,二进制SCA和编译SCA重叠部分数据占比不超过60%。基于BOM的SCA中以编译方式执行检测BOM结果的精确度、召回率等指标在大部分情况下均超过90%;源码不编译方式SCA相较于编译方式的检测结果中组件的精确度、召回率等指标均在40%左右,但关于漏洞检测与解决的相关指标在90%左右。软件供应链的二进制制品检测与源代码处于无法编译状况下的安全左移场景检测结果精确度不足,而对于BOM文件的安全测试结果有效可靠。