带你掌握二进制SCA检测工具的短板及应对措施
摘要:本文针对二进制SCA检测技术短板所面临的一些特殊场景、检测影响及应对措施进行详细分析和说明,希望对使用二进制SCA检测工具的测试和研发人员有所帮助。
本文分享自华为云社区《二进制SCA检测工具---技术短板及应对措施》,作者:安全技术猿。
世间万物都不可能是十全十美的,二进制SCA检测技术也逃不过此宿命,它既有它的长处,能解决其他技术不能或很难解决的问题和场景,同时它自身技术短板也面临着一些无法或很难解决的场景。
我们知道二进制文件在产品包中的类型与形态是非常复杂的,不同语言的二进制文件有各自不同的特点,同时不同开发人员进行软件设计、开发、编译、打包的方式和场景更是千差万别,以产品引用开源软件的方式为例就存在以下场景:patch打补丁版本号不变、产品引用开源软件部分功能场景下的部分编译、自研代码基于开源软件源码的侵入式修改,以及不同开源软件的被动依赖等等场景,在这些复杂的场景下二进制SCA工具检测能力和检测结果正确性会受到极大的挑战和影响。
解决或缓解这些影响的思路无非就两种:外部解决和内部解决。从外部解决的方法是尽可能的减少或避免出现二进制SCA短板场景,从软件的设计、开发编译、打包部署等在不同阶段进行优化和规范,摒弃不合理的做法,尽量避免出现二进制SCA工具的短板场景;另外一个是测试工具及测试方法的优化,把二进制SCA工具用来做它擅长的事,避免出现用大炮打蚊子的事情。从内部解决的方法则是优化工具的能力和算法,尽可能来提升工具的适用场景,减少短板场景。
下面针对二进制SCA工具的技术短板面临的特殊场景的特点、检测影响和应对措施进行详细描述:
解包特殊场景:被测软件包采用了自定义的打包算法或加密过的压缩包
解包影响:解包工具无法正确的进行解包,会导致检测结果遗漏;
应对措施:测试人员可以先用专用工具进行解包,再用tar、zip等工具对解包后的目录重新打包,上传新包进行检测即可。
不同语言特殊场景详解:
可以试试下面的漏扫服务,看看系统是否存在安全风险:>>>漏洞扫描服务
相关文章
- 金融App面临安全风险?解锁HMS Core安全检测服务解决方案
- CodeArts TestPlan:一站式测试管理平台
- cookie、session,、token,还在傻傻分不清?
- 一文了解华为FusionInsight MRS HBase的集群隔离方案RSGroup
- 高并发环境下构建缓存服务,你需要注意这6点
- 一文详解RocketMQ的存储模型
- Serverless时代的微服务开发指南:华为云提出七大实践新标准
- 用100W+行代码贡献经验,带你了解如何参与OpenHarmony开源
- CSV:简单格式下隐藏的那些坑
- 能将三次握手讲到这个程度,不给你offer给谁!
- 细数华为云云原生产品及五大开源实践
- 解密秒杀系统架构:不是所有的秒杀都是秒杀
- 《迷你世界》亿级玩家都在用的游戏场景推荐系统长啥样?
- ROMA Connect: 5大联接能力+4大集成能力,推进企业数字化转型
- DTT年度收官圆桌π,华为云8位技术专家的年末盘点
- 工业数据分析为什么要用FusionInsight MRS IoTDB?
- 云网络运维必备神器:全链路故障诊断与分析
- 掌握这5大功能,解锁鲲鹏开发新发现
- 华为云助推武水集团项目成功入选住建部“智慧水务”典型案例!
- 数字化时代,校园生活还可以这样过