近日，螞蟻安全正式對外開放新一代軟件供應(yīng)鏈安全技術(shù)——源蜥。
2024年源蜥將開放200名免邀請?jiān)囉妹~（https://cybersec.antgroup.com/），推動(dòng)行業(yè)軟件供應(yīng)鏈安全技術(shù)升級。
與傳統(tǒng)軟件組成成份分析技術(shù)（Software Composition Analysis，SCA）相比，源蜥“新”在哪里？能解決用戶的哪些痛點(diǎn)？
 
01.傳統(tǒng)SCA用戶面臨的問題
 
傳統(tǒng)SCA的用戶，經(jīng)常會(huì)遇到SCA掃描動(dòng)輒報(bào)出數(shù)萬個(gè)漏洞，即使只關(guān)注高危以上的漏洞，也有數(shù)千個(gè)。面對這數(shù)以千計(jì)的高危漏洞：
一方面，漏洞修復(fù)的成本很高，全部修復(fù)會(huì)嚴(yán)重拖累業(yè)務(wù)的快速發(fā)展，在企業(yè)內(nèi)部難以落地；
另一方面，如果不修復(fù)這些漏洞，對企業(yè)有嚴(yán)重安全威脅的漏洞也會(huì)淹沒在其中，使企業(yè)面臨著較大的安全風(fēng)險(xiǎn)。
 
 
02.原因分析
 
 傳統(tǒng)SCA檢測漏洞主要包括三個(gè)環(huán)節(jié)，如圖1所示：
 （1）對應(yīng)用程序做軟件物料清單(Software Bill of Materials，簡稱SBOM）分析得到依賴的組件清單
 （2）采集和分析得到漏洞情報(bào)
 （3）通過組件清單關(guān)聯(lián)漏洞情報(bào)得到漏洞
 

圖1 傳統(tǒng)SCA漏洞檢測原理

 傳統(tǒng)SCA之所以會(huì)動(dòng)輒報(bào)出數(shù)萬個(gè)漏洞，主要原因有兩點(diǎn)：
 （1）傳統(tǒng)SCA做SBOM分析的粒度都是組件級，只要應(yīng)用程序依賴了含漏洞的組件，不管應(yīng)用程序是否調(diào)用了漏洞的觸發(fā)點(diǎn)，都會(huì)被認(rèn)為存在漏洞，導(dǎo)致了大量的誤報(bào)
 （2）業(yè)界公開的漏洞情報(bào)非常多，傳統(tǒng)SCA只關(guān)注了漏洞自身的危害等級，而沒關(guān)注漏洞實(shí)際在業(yè)界被利用的風(fēng)險(xiǎn)，從而將大量不存在利用風(fēng)險(xiǎn)的漏洞也推給用戶去修復(fù)。
 
例如，僅2023年披露的CVE漏洞就超過2.6萬個(gè)，但即使是其中一些危害等級很高的漏洞，很可能也沒有公開的POC或被在野利用嘗試，利用風(fēng)險(xiǎn)很低，也無需用戶重點(diǎn)關(guān)注。
 
03.源蜥技術(shù)“新”在哪

【源蜥】針對以上用戶痛點(diǎn)，依托螞蟻安全團(tuán)隊(duì)在【程序分析】和【威脅情報(bào)】領(lǐng)域業(yè)界領(lǐng)先的技術(shù)優(yōu)勢，創(chuàng)新的提出并實(shí)現(xiàn)了【“函數(shù)級”SBOM】和【漏洞利用風(fēng)險(xiǎn)分析】兩項(xiàng)技術(shù)，讓用戶聚焦應(yīng)用程序?qū)嶋H會(huì)觸發(fā)、且業(yè)界實(shí)際存在較大利用風(fēng)險(xiǎn)的漏洞，大幅降低用戶的軟件供應(yīng)鏈漏洞運(yùn)營成本，如圖2。
 

圖2 源蜥漏洞檢測原理

 
3.1 函數(shù)級SBOM技術(shù)

由于絕大多數(shù)漏洞的觸發(fā)都是有一個(gè)或多個(gè)觸發(fā)函數(shù)，只有應(yīng)用程序及其依賴的二三方組件實(shí)際調(diào)用了一個(gè)漏洞觸發(fā)點(diǎn)的函數(shù)，漏洞才有可能被實(shí)際觸發(fā)，才是需要用戶重點(diǎn)關(guān)注的漏洞。
函數(shù)級SBOM就是在組件級SBOM分析的基礎(chǔ)上，利用螞蟻安全海量的源碼分析、存儲(chǔ)和查詢技術(shù)，對應(yīng)用及其依賴的二三方組件進(jìn)一步“畫像”，“繪制”出應(yīng)用程序依賴的所有函數(shù)的清單。
源蜥通過將應(yīng)用的SBOM分析能力從【組件級】提升到【函數(shù)級】，幫助用戶精準(zhǔn)過濾了大量誤報(bào)“漏洞”，提效60%以上。

圖3 源蜥函數(shù)級SBOM分析技術(shù)

 
3.2 漏洞利用風(fēng)險(xiǎn)分析

源蜥通過多維度的漏洞情報(bào)信息，只對用戶透出經(jīng)過分析存在被實(shí)際利用風(fēng)險(xiǎn)的漏洞，如POC已公開的漏洞/已被在野嘗試?yán)玫穆┒矗瑴p少無利用風(fēng)險(xiǎn)的漏洞情報(bào)80%以上。
在篩選出高利用風(fēng)險(xiǎn)漏洞情報(bào)的基礎(chǔ)上，源蜥還會(huì)分析出該漏洞的觸發(fā)點(diǎn)函數(shù)，從而結(jié)合函數(shù)級SBOM精準(zhǔn)分析出實(shí)際有影響的漏洞。

圖4 源蜥漏洞利用風(fēng)險(xiǎn)分析技術(shù)

 
04.小結(jié)
 
軟件供應(yīng)鏈漏洞一般影響面較廣，容易被外部攻擊者利用，對企業(yè)的安全性有較大威脅，也是每年HW Top類型的風(fēng)險(xiǎn)，是企業(yè)高優(yōu)先級要關(guān)注和處置的安全風(fēng)險(xiǎn)。
但傳統(tǒng)SCA工具由于SBOM粒度較粗、漏洞情報(bào)不區(qū)分實(shí)際被利用的風(fēng)險(xiǎn)，導(dǎo)致動(dòng)輒掃描出上萬漏洞，在企業(yè)難以落地。
針對這一用戶痛點(diǎn)，螞蟻安全在業(yè)界率先提出了新一代軟件供應(yīng)鏈安全技術(shù)——源蜥，源蜥利用螞蟻安全團(tuán)隊(duì)在程序分析和威脅情報(bào)領(lǐng)域業(yè)界領(lǐng)先的技術(shù)優(yōu)勢，創(chuàng)新的提出并實(shí)現(xiàn)了【“函數(shù)級”SBOM】和【漏洞利用風(fēng)險(xiǎn)分析】兩項(xiàng)技術(shù)，讓用戶聚焦應(yīng)用程序?qū)嶋H會(huì)觸發(fā)、且業(yè)界實(shí)際存在較大利用風(fēng)險(xiǎn)的漏洞，不再苦于動(dòng)輒掃描出的數(shù)萬漏洞而束手無策，大幅提升了安全團(tuán)隊(duì)的運(yùn)營效率。
 
源蜥新一代軟件供應(yīng)鏈安全技術(shù)與傳統(tǒng)SCA核心能力對比