不仅仅是SCA 应对复杂威胁需要更全面的软件供应链安全组合策略

当今的软件开发环境下，开发人员往往采用开源软件以加快开发速度。然而随着开源组件的引入，开源组件漏洞、许可证法律风险问题都是潜在的安全威胁，如何做好安全态势监测，在软件开发生命周期的每个阶段做好跟踪成为必然。

Forrester在报告中将SCA定义为“扫描应用程序而不执行它，以生成所有开源和第三方组件清单的产品”。除了通过软件物料清单 （SBOM） 了解应用的组件外，SCA 还可以降低应用中的许可证、漏洞和操作风险。它还能够帮助软件在开发生命周期 （SDLC） 中应用一致的开源策略。

Forrester 将 SCA 视为组织的基本工具，用于转变其开发、安全和运营 （DevSecOps） 方法，以保护软件供应链。由于SCA是自动化的并集成到SDLC中，因此它可以为开发人员提供有关应用程序漏洞和许可证风险的及时反馈。SCA 还为开发人员提供指导，以便在应用生命周期的早期确定调查结果的优先级和更高效的修正。

SCA提供了对集成到开发团队创建的软件中的开源组件和库的可见性，帮助管理安全性和许可证相关的风险，确保嵌入到应用程序中的任何开源组件都符合某些标准，以避免引入可能导致数据泄露、知识产权受损或法律纠纷的风险。随着开源使用的持续增长，显然需要 SCA 通过检测软件许可证、依赖项以及代码库中的已知漏洞和潜在漏洞来分析开源组件，使开发和安全团队能够管理其安全风险和许可证合规性。

2019年，Gartner 在报告中把 SCA 纳入 AST 技术领域范围，从而形成了包含 SAST、DAST、IAST和 SCA的应用软件安全测试技术体系，并正式发布了有关 SCA 的技术洞察报告。根据Forrester的报告，预计SCA在软件安全市场中的地位将达到与传统应用程序安全工具动态应用程序安全测试（DAST）同等的地位，或者到2025年在市场上超过它。

很多时候，一些组织会将SCA等同于软件供应链安全。尽管SCA工具对于保护软件供应链至关重要，但它们只是其中的一部分。软件供应链作为一个复杂、庞大的系统，难免存在薄弱环节，这就为攻击者创造了一个契机，攻击者无需代码审计或漏洞挖掘，而是以软件供应链中的薄弱环节为攻击点进行软件攻击或篡改，发起软件供应链攻引起软件供应链安全问题，从而产生巨大的安全危害。因此，保障软件供应链安全，若仅仅对某单一环节进行安全防护是远远不够的，需从软件供应链的供应过程及软件自身安全出发。

正如Forrester指出的那样，SCA是任何保护软件供应链的安全计划的基础部分，但仅靠SCA是不够的。SCA 和大多数应用程序安全测试工具一样，他们分别关注与代码相关的一小部分风险，能够解决部分安全问题，但软件供应链安全是一个十分复杂的命题，需要构建一整套的软件供应链安全治理体系，才能够实现软件从需求设计、开发测试、发布运营、下线停用等环节进行全流程的闭环安全风险管理。

攻击者并不会将自身局限在攻击软件供应链时破坏软件存储库，因此防御者也不应将自己限制在代码分析上。Forrester认为，现代软件供应链安全平台需要同时保护基础设施和应用程序，并将重点逐步从漏洞转移到恶意软件上。

鉴于软件供应链攻击在过去几年中越来越受欢迎，企业的攻击面在持续增长，组织现在需要防御的攻击类型也在增加。很明显，软件供应链攻击的威胁不仅会持续存在，而且数量越来越多，越来越复杂。除了攻击的数量之外，攻击类型也变得越来越技术性和多样性。

因此报告认为，随着攻击威胁的增长，相关安全厂商必须不断调整其解决方案以应对威胁态势的变化，持续加强对恶意软件的关注，更精准地识别第三方软件组件中的恶意软件和代码篡改，覆盖更多的软件形态和开发语言，与研发流水线、安全工具进一步集成，形成更高效的协同治理能力等等，是SCA产品供应厂商们下一步应该努力的方向。

根据此前对业内多家主流软件开发安全领域厂商的走访调研，安全419观察到，国内市场上的SCA产品当前已经比较丰富。将AST类工具与SCA以及RASP进行深度的耦合以及智能协同，并以平台的形式交付给用户已经成为当前国内软件安全领域应对供应链安全风险的最主流方案，包括悬镜安全、酷德啄木鸟、孝道科技等在内的多家厂商，均在采访中分享了自身在相关开发安全工具链方面的安全解决方案。

譬如，悬镜安全创新提出“单探针”模式，通过单探针将第三代DevSecOps智适应威胁管理体系中的源鉴OSS、灵脉IAST和云鲨RASP三大产品进行了深度的联动。首先帮助用户通过SCA软件成分分析和SBOM软件物料清单检测并梳理出数字化应用所涉及的第三方组件，进而基于运行时探针插桩技术识别相关组件是否在使用，判断是否存在漏洞，最终再通过RASP来完成自动化的热补丁修复，实现数字化应用的运行时风险免疫，并为用户提供一整套软件供应链安全组件化的闭环服务。

再如，酷德啄木鸟的软件供应链安全解决方案中，也将自身旗下的SAST（CodePecker源代码缺陷分析系统）、SCA（CodePecker软件成分分析系统）、IAST（CodePecker Finder交互式测试系统）以及RASP（应用自保护系统）进行了有机整合。以交互式测试系统与源代码缺陷分析系统形成优势互补，在客户侧形成以DAST为主、IAST为辅的工具组合，RASP则与之联动，当软件应用遭受攻击时，先行提供防护能力，为最终的彻底修复提供一定的时间窗口。

同时，当RASP在软件应用遭受攻击启动防护时，如果导致该攻击的问题是此前测试阶段未检测出来的，那么相关的问题代码便可以依靠整体解决方案的联动能力，自动与源代码缺陷分析系统匹配、查找并展现出来，以利于后期彻底修复。