据 SAP 称，当今 85%的安全攻击针对的是软件应用程序，因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击，企业通常使用应用程序安全测试工具来去缓解和解决安全风险，而不同的工具对应的使用方法和覆盖范围各不相同。本期文章，我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方案如何帮助企业应对不同的风险。

软件世界的风险与挑战

在这个依靠软件运行的世界中，企业面临一个挑战：开发好的软件很难。随着软件变得越来越复杂，确保其可靠性和安全性变得更加困难 。无论是购买的软件、专有软件还是作为服务交付的软件，都无法避免漏洞问题，而开源软件更是如此。但开源的优势相较于传统开发模式更加突出，即更快的上市时间、更多的创新机会、更低的开发成本以及与全球开发人员社区更密切的联系。然而企业有时会忽略与开源使用相关的安全和风险管理挑战。

专有代码中的问题

在开发过程中，开发人员难免会将一些安全问题（例如 OWASP Top 10 和 2019 CWE Top 25 中列出的问题）误引入专有代码中。最著名的安全问题包括 SQL 注入、破坏的身份验证和会话管理以及跨站点脚本。而静态应用程序安全测试 (SAST) 可以在开发人员编写代码时，或在提交、构建或测试阶段，通过检查代码本身来检测常见类型的问题。

开源组件中的漏洞

开源漏洞，例如美国国家漏洞数据库(NVD) 中列出的漏洞，是通过在代码库中使用开源组件引入的。其实开源软件并意味着不比商业软件更安全或更不安全，只是缺乏对其使用的开源可见性的企业无法有效缓解和修复开源漏洞。同时开源漏洞的数量正在增长，NVD 仅在 2018 年就报告了超过 16,000 个新的开源漏洞。软件成分分析(SCA) 侧重于识别代码库中的开源成分，以便开发团队可以更好地缓解管理他们面临的安全和许可合规风险和问题。

与攻击者的较量

企业通常会采用数种方式来缓解和解决漏洞风险和问题，但如何更高效地管理漏洞是企业都十分关注的地方。虽然修复漏洞可能仅仅需要花费几天或几分钟的时间，但企业往往需要花费数月时间来发现可被利用的漏洞。

此外，开源漏洞还会带来额外的安全风险。因为开源在任何地方都可以访问和使用，恶意攻击者则会利用这一点，来访问有关已知开源漏洞的公开信息以及有关如何利用漏洞的详细信息。比如，当漏洞被报告出来时，开源社区通常也会相应发布该漏洞的利用方式说明。因此，开源的存在虽然让软件开发变得更加便捷高效，但同时也给恶意攻击者提供了同样信息源和便利。

SAST vs SCA: 差异一览

应用程序安全挑战多种多样，那么解决这些挑战的最佳方法是什么？解决软件漏洞的有效方法当然包括安全测试工具，使用 SAST 来发现专有代码中的问题，以及使用 SCA 来发现开源代码中的漏洞。

同时包含 SAST 和 SCA 的软件安全程序会更加全面，而企业也会获得以下的效果：

• 通过早期识别和选择安全组件提高了产品质量

• 跨专有代码和开源组件的更高的安全风险可见性

• 降低在开发过程早期发现和修复的漏洞的补救成本

• 针对已知开源漏洞的攻击将安全漏洞风险降至最低

• 优化的安全测试，有效与敏捷开发工具和实践兼容

让我们分别来看看这两个安全测试工具的特点及其优势。

静态应用安全测试 SAST

SAST 通过检查应用程序的源代码来查明可能的安全问题，有时称为白盒测试（因为源代码可用且透明）。SAST 在软件开发生命周期（SDLC）的早期发挥了巨大的作用，而在软件开发早期修复问题相对容易且成本更低。SAST 可以有效地发现上文提到的许多常见安全问题，例如跨站点脚本、SQL 注入和缓冲区溢出。

SAST 优势

• 查明专有代码中的缺陷和问题

• 在 SDLC 早期发现问题，此时修复成本远比在软件开发中后期要低得多！

• 在代码投入生产之前检测问题（也就是在这些问题成为漏洞之前解决掉！）

软件成分分析 SCA

SCA 识别代码库中的所有开源并将该清单映射在当前已知漏洞的列表。入门级解决方案只是收集有关已声明的开源（例如库）的信息并将其与 NVD 进行比较，而更高级的解决方案则会使用复杂的源代码和二进制文件扫描，来确保其更全面地识别所有开源代码，包括从已知来源复制的代码片段。除此之外，还使用其他漏洞信息来扩充 NVD 数据，以提供更完整、更及时的报告。先进的 SCA 解决方案会针对应用程序部署后报告的漏洞提供持续监控和警报。

SCA 优势

• 可靠地检测和映射其他方法无法发现的已知开源漏洞

• 提供对正在使用的开源代码的完整说明

• 持续监控发现的新漏洞

总 结

应用程序安全这个领域正在迅速地发展，而这在很大程度上要归功于开源代码的广泛运用。开源凭借其明显的优势，逐渐成为现代应用程序开发的基础。但是仅包含 SAST，且只关注专有代码的应用程序安全测试方法可能会留下重大的漏洞识别和管理漏洞。在这个时候，SCA 对剩余的部分做了很好的补充。SCA 提供了开源软件的自动识别和清单，将组件映射到已知漏洞，并简化和保护 CI/CD 活动。因此，合理地结合使用 SAST 和 SCA ，能够对整个应用程序环境的安全性进行全面且深入的评估。