華為云計(jì)算 云知識(shí) 二進(jìn)制SCA檢測(cè)工具---技術(shù)短板及應(yīng)對(duì)措施
二進(jìn)制SCA檢測(cè)工具---技術(shù)短板及應(yīng)對(duì)措施
時(shí)間: 2021-12-06 10:44:15
猜你想看:
實(shí)時(shí)語(yǔ)音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

【摘要】 SCA分析技術(shù)通常被用來(lái)進(jìn)行安全審計(jì)、 漏洞掃描 分析,但二進(jìn)制文件在產(chǎn)品包中的類型與形態(tài)非常復(fù)雜,不同語(yǔ)言的軟件設(shè)計(jì)、開(kāi)發(fā)、編譯、打包方法也千差萬(wàn)別;二進(jìn)制SCA檢測(cè)技術(shù)既有它的長(zhǎng)處,同時(shí)它自身技術(shù)短板也存在著一些無(wú)法或很難解決的場(chǎng)景。本文針對(duì)二進(jìn)制SCA檢測(cè)技術(shù)短板所面臨的一些特殊場(chǎng)景、檢測(cè)影響及應(yīng)對(duì)措施進(jìn)行詳細(xì)分析和說(shuō)明,希望對(duì)使用二進(jìn)制SCA檢測(cè)工具的測(cè)試和研發(fā)人員有所幫助。

世間萬(wàn)物都不可能是十全十美的,二進(jìn)制SCA檢測(cè)技術(shù)也逃不過(guò)此宿命,它既有它的長(zhǎng)處,能解決其他技術(shù)不能或很難解決的問(wèn)題和場(chǎng)景,同時(shí)它自身技術(shù)短板也面臨著一些無(wú)法或很難解決的場(chǎng)景。

我們知道二進(jìn)制文件在產(chǎn)品包中的類型與形態(tài)是非常復(fù)雜的,不同語(yǔ)言的二進(jìn)制文件有各自不同的特點(diǎn),同時(shí)不同開(kāi)發(fā)人員進(jìn)行軟件設(shè)計(jì)、開(kāi)發(fā)、編譯、打包的方式和場(chǎng)景更是千差萬(wàn)別,以產(chǎn)品引用開(kāi)源軟件的方式為例就存在以下場(chǎng)景:patch打補(bǔ)丁版本號(hào)不變、產(chǎn)品引用開(kāi)源軟件部分功能場(chǎng)景下的部分編譯、自研代碼基于開(kāi)源軟件源碼的侵入式修改,以及不同開(kāi)源軟件的被動(dòng)依賴等等場(chǎng)景,在這些復(fù)雜的場(chǎng)景下二進(jìn)制SCA工具檢測(cè)能力和檢測(cè)結(jié)果正確性會(huì)受到極大的挑戰(zhàn)和影響。

解決或緩解這些影響的思路無(wú)非就兩種:外部解決內(nèi)部解決。從外部解決的方法是盡可能的減少或避免出現(xiàn)二進(jìn)制SCA短板場(chǎng)景,從軟件的設(shè)計(jì)開(kāi)發(fā)編譯、打包部署等在不同階段進(jìn)行優(yōu)化和規(guī)范,摒棄不合理的做法,盡量避免出現(xiàn)二進(jìn)制SCA工具的短板場(chǎng)景;另外一個(gè)是測(cè)試工具及測(cè)試方法的優(yōu)化,把二進(jìn)制SCA工具用來(lái)做它擅長(zhǎng)的事,避免出現(xiàn)用大炮打蚊子的事情。從內(nèi)部解決的方法則是優(yōu)化工具的能力和算法,盡可能來(lái)提升工具的適用場(chǎng)景,減少短板場(chǎng)景。

下面針對(duì)二進(jìn)制SCA工具的技術(shù)短板面臨的特殊場(chǎng)景的特點(diǎn)、檢測(cè)影響和應(yīng)對(duì)措施進(jìn)行詳細(xì)描述:

解包特殊場(chǎng)景:被測(cè)軟件包采用了自定義的打包算法加密過(guò)的壓縮包

解包影響:解包工具無(wú)法正確的進(jìn)行解包,會(huì)導(dǎo)致檢測(cè)結(jié)果遺漏;

應(yīng)對(duì)措施:測(cè)試人員可以先用專用工具進(jìn)行解包,再用tar、zip等工具對(duì)解包后的目錄重新打包,上傳新包進(jìn)行檢測(cè)即可。

不同語(yǔ)言特殊場(chǎng)景詳解

可以試試下面的漏掃服務(wù),看看系統(tǒng)是否存在安全風(fēng)險(xiǎn):>>> 漏洞掃描服務(wù)

猜你喜歡
二進(jìn)制SCA檢測(cè)工具---技術(shù)短板及應(yīng)對(duì)措施

意見(jiàn)反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失敗!請(qǐng)稍后重試!