软件成分分析的概念及意义
软件成分分析Software Compostition Analysis(SCA)是一种用于管理开源组件应用安全的方法。软件成分分析系统可以快速跟踪和分析应用软件的开源组件,发现相关组件、支持库以及它们之间直接和间接依赖关系,检测软件许可证、已弃用的依赖项以及漏洞和潜在威胁。
近年来,针对开源组件的供应链安全攻击急剧增加,开源组件供应链安全事件造成的影响更加广泛和严重,因此掌握应用软件使用的组件底数,摸清组件关联关系、组件漏洞和风险隐患情况变得至关重要。软件成分分析系统能够分析软件成分,形成软件物料清单,检测软件许可合规问题,发现开源组件漏洞情况,降低由软件成分带来的安全和合规风险,提升供应链整体安全防护水平。软件成分分析系统已成为保障关键信息基础设施、重要网络和信息系统软件供应链安全的重要工具。
《软件成分分析系统技术规范》主要内容介绍
随着软件成分分析系统的市场热度增高,各网络安全企业相关产品快速推出抢占市场,导致目前国内市场上软件成分分析系统能力参差不齐。为确保软件成分分析系统在功能和安全性上的一致性和有效性,保障软件成分分析系统能够发挥其真实作用,公安部第三研究所等保中心(以下简称“等保中心”)牵头编制了《软件成分分析系统技术规范》,提出软件成分分析系统的技术要求,并给出相应评价方法,适用于对软件成分分析系统的检测评估。
《软件成分分析系统技术规范》从安全功能要求、自身安全要求、环境适应性要求、安全保障要求四大维度出发,围绕软件物料清单管理、软件成分风险分析、数据安全、通信安全等核心能力指标展开。主要包括:软件成分识别、漏洞风险分析、投毒风险分析、开源许可合规风险分析、供应链连续性分析、集成配置、自身安全和安全保障等内容。本规范的指标分为基本级和增强级,可用于软件成分分析系统的分级检测评估。
《软件成分分析系统技术规范》试用成果
为验证《软件成分分析系统技术规范》内容的科学性、合理性和可用性,等保中心对第一批软件成分分析系统进行了检测评估,通过软件成分分析系统检测评估工作,衡量了各种软件成分分析系统的检测能力,规范了软件成分分析系统的检测功能,提升了软件成分分析系统的整体安全技术能力。
已通过检测评估的SCA系统有:
等保中心将继续推进供应链安全检测评估工作,进一步完善检测标准和评估体系,欢迎更多企业积极参与,共同构建安全、可信的软件供应链环境。
