T- Sec软件成分分析(SCA)软件供应链安全解决方案

T-Sec软件成分分析（SCA） 软件供应链安全解决方案 主讲人： 腾讯安全科恩实验室开发安全产品经理陈次恩 01软件供应链安全建设的挑战 软件供应链安全建设存在的挑战 面对日益严峻的软件供应链安全风险，企业亟需分析精准、性能稳定以及开源软件治理一站式的解决方案。 已知漏洞扫描 未知风险检测 如何统计软件资产？如何确定组件风险？ 漏洞是否有可利用脚本？ 如何发现潜在攻击链？ 安全数据监测 修复方案推荐 如何确认开源许可证风险？漏洞修复难度大，如何收敛？ 软件供应链安全能力建设的趋势、必要性和监管要求 •软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道和使用安全的总和。——《软件供应链安全发展洞察报告》，云计算开源产业联盟 隐藏“后门”，挖掘核心敏感数据 泄密 重要文件无法读取、关键数据损坏 勒索 挖矿、僵尸网络、远程命令执行 木马 在更新软件时感染病毒 劫持 有没有从根本上解决安全潜在风险？ 《关键信息基础设施安全保护条例》 《关于供应链安全风险提示》 《关于规范金融业开源技术应用与发展的意见》 《银行保险机构信息科技外包风险监督办法》 《金融业开源软件应用管理指南》 行业监管与政策 •国家级攻防演练2022-2023防守单位失陷案 例60%+与软件供应链安全相关； •国家级攻防演练Top5攻击技战法； •两年持续供应链安全专项持续加大力度，是国家关注的重点； 软件供应链安全趋势 •建立体系规范，以标准、合规、安全的组件提 供给各个业务方； •安全左移，更早的发现和修复安全漏洞； •准入管理，从源头把控安全，从源头摸清楚供需、安全和管理现状； 行业监管与政策 软件供应链安全建设：《软件成分分析系统安全技术要求与测试评价方法》 漏洞风险 许可证合规 1 2 开源组件挑战 漏洞风险 漏洞信息明细 漏洞可达性 开源许可证合规风险 投毒风险 连续性风险 许可证兼容性许可证互惠性许可证篡改 自主可控要求 投毒风险 3 组件投毒风险代码投毒风险 供应连续性风险 4 组件停止维护 许可证（License）变更版权（Copyright）变更 核心数据可控 核心能力自研 国产化环境支持 02T-Sec软件成分分析解决方案 核心组件数据 开源组件知识库 核心扫描能力 系统审计 二进制SCA 源码SCA 腾讯科恩软件供应链安全解决方案：T-Sec软件成分分析 管理 安全管理 SBOM监测与管理管控策略运营与调整 数据分析 组件情报数据分析 漏洞数据最终与分析组件数据分析 基础分析 SCA基础分析能力 组件检出 漏洞可达性检出 管理能力 管控策略 SBOM管理 科恩基于多年打磨的开发安全能力，推出以源码/二进制软件成分分析为核心的检测平台，帮助用户检测开源组件风险，建立软件物料清单（SBOM），解决开源安全以及合规问题。 T-Sec软件成分分析：围绕AI算法、知识库和安全运营的优势能力 技术业界领先检测精准收敛“狗粮”实战检验 业内领先的安全能力结合公司级数据能力、工程化能力与运营体系打通经验打造高可用解决方案 精准组件数据 业内领先：二进制级、代码级分析能力 •科恩BinaryAI安全算法能力持续训练迭代并 被学术界和工业界广泛引用 •能力通用性强，覆盖各类主流开发语言，以及超过10+的小众语言（Shell、SQL），支持鸿蒙ArkTS等新语言和研发框架、支持信创开源风险评估测试 安全运营体系高适配度与稳定性 数据全面丰富： •漏洞数据-腾讯安全统一漏洞库数据，漏洞情报30W+ •许可证数据–覆盖常见2K+许可证，复杂表达式满足真实业务需求 •组件数据–组件情报690W+，人工运营组件核心信息，用于混元、BinaryAI等模型与数据训练 检测精准： •漏洞可达性评估–深度分析漏洞可触发性准确判别漏洞风险，收敛高危漏洞降低后续分析成本 •代码级特征匹配–基于BinaryAI核心能力，问题代码片段快速定位提效后续修复 •研发体系大规模接入扫描：Coding、蓝鲸（客户研发体系）、智研（腾讯自研体系）等 •腾讯发布体系与安全运营平台接入：发布安全审核、法务合规审核、安全工单系统等 •灵活高效场景适配：灵活布署方式、参数配置和接口调用，高效支撑各个场景下的适配要求 动静态依赖分析：准确处理版本依赖问题 组件Scope：不同包管理器具备不同scope（test，dev等） T-Sec软件成分分析：分析能力优势 依赖管理分析 文件级分析：快速分析整个文件相似度，加速SCA分析 片段级分析：片段级分析识别，发现抄袭情况 代码片段分析能力 漏洞存在性：通过patch数据判断漏洞特征是否存在 漏洞触发性：分析漏洞影响函数调用链，判断漏洞调用触发性 漏洞可达性 二进制特征检测：对c/c++函数级特征，字节码做SCA分析二进制依赖特征检测：对java、golang、c#等制品做扫描 精准制品扫描 T-Sec软件成分分析：管理能力优势 围绕SBOM管控多种策略系统与数据分析能力 11 管理视角 •SBOM数据分析：灵活视角数据分析与指标建立 •API能力：灵活的API能力对接各类系统 22 组件治理视角 •SBOM管理能力：管理统计、回扫匹配 •服务绑定能力：以服务视角审查代码中的SBOM分布情况 33 组件运营视角 •审核策略：版本级灵活审核策略支持 •管控策略：黑白组件管控策略支持 44 研发团队视角 •符合研发情况的SBOM归属权设计：团队、项目、项目版本 •多种SBOM分析工具接入支持：腾讯SCA工具、开源工具、商业化工具 T-Sec软件成分分析：开源组件风险识别逻辑 多种SCA分析能力逐一细化扫描粒度 多种扫描策略 聚合与收敛组件版本分布 多种漏洞匹配模式逐步判断漏洞存在概率 多SCA阶段组合 深入解决供应链风险 组件分析组件版本分析漏洞特征分析 1.二进制级识别 2.源码片段级识别 3.源码文件级识别 4.静态包管理器识别 5.动态包管理器识别 1.二进制版本识别 2.源码级版本特征聚合 3.包管理器版本依赖处理 1.漏洞特征判断 2.组件版本漏洞数据 3.漏洞触发知识库匹配 4.函数调用分析与匹配 各阶段逐步深入分析提升结果置信度 SBOM建立 组件数据自维护 组件连续性风险识别 许可证风险识别 投毒风险识别 Copyright篡改识别 漏洞存在性判断 漏洞触发性判断 漏洞补丁信息 下游任务识别 客户典型应用场景：开发接入场景 •开发阶段质量控制：专注于高精确度的SCA扫描，降低开发修复负担，开箱即用无需调整参数 •发布阶段制品晋级：详尽的分析策略，严格检出组件与敏感信息 •多阶段解决方案：完整覆盖开发安全供应链安全扫描场景 制品仓库 IDE 编译与集成 代码仓库 SBOM运营 安全团队闭环修复 专家能力支持 研发 供应商 外部采购/外包开发 源码SCA扫描制品SCA扫描 IDE插件集成 代码仓库集成CI/CD集成制品库集成 分析策略管理 T-Sec软件成分分析平台 客户典型应用场景：软件供应链准入场景 •基于实战经验的分析平台：包归档、元信息提取 •充分发挥二进制SCA优势：解包能力强、二进制分析对象兼容性高 •系统采集能力：完整采集运行时数据，综合SCA分析 0 1 2 3 供应商制品包 供应商服务器 供应链包准入包解析与归档自动化检测分析人工验证分析 •制品包验证机制 •服务器系统级采集机制 •复杂包格式解析 •数据归档，常态化回扫 •可信SCA成分分析 •恶意样本特征检测 •业务包拆分 13 客户典型应用场景：开源组件治理场景 •SBOM台账建立：自动化生成、信息全面 •SBOM台账运营：组件搜索、更新情况追踪 关键技术点 1.组件定位能力 风险评估 关键技术点 1.安全风险：漏洞 2.合规风险：许可证风险 3.综合风险：组件版本分布、连续性问题 2.组件检测、附加信息能力 3.组件管理能力 SBOM台账 运营流程 管控策略 定位字段 说明 定位 PURL相关字段 作用域 dev、test、compile区分 检出依据 工具检出依据 推修优化 关键运营策略 1.漏误报运营能力：结果屏蔽、修正 2.管控策略能力：黑白名单机制 3.灵活API能力 THANKS