SAP 開源 SCA 工具,掃描軟體包依賴漏洞
全球最大 ERP 供應商 SAP 近日宣佈開源軟體組合分析(SCA)工具vulnerability-assessment-tool 。
vulnerability-assessment-tool 側重於檢測如 OWASP-Top 10 2017 A9 所述的脆弱的元件,通過掃描 Java 和 Python 應用軟體包中的直接依賴項和間接依賴項,對比漏洞庫,判斷檢測包是否包含已知漏洞。
據介紹,vulnerability-assessment-tool 已在內部測試了兩年,對 600 多個專案進行了 20000 次掃描 。
特性如下:
- 通過查詢 Java 檔案中的方法簽名並將其原始碼與位元組碼對比漏洞版本和修復版本,實現對漏洞程式碼的檢測。
- 通過關於漏洞程式碼的潛在和實際執行資訊,應用開發人員和安全專家對存在漏洞的依賴進行評估。
- 向已知漏洞庫新增新漏洞不需要重新掃描應用程式。
- 給出緩解漏洞建議,通過計算多個指標,開發人員可以選擇漏洞依賴的最佳非漏洞替代品。
- 如果開發人員得出的結論是在給定的應用程式上下文中無法利用漏洞,那麼可以不必進行單獨的分析。
- 組織內部 CERT 可以查詢受相關漏洞影響的所有應用。