基于“函数级”SBOM，蚂蚁安全开放新一代软件供应链安全技术

2024-09-24

最近，蚂蚁安全正式向公众开放了新一代软件供应链安全技术-源蜥，2024 年源蜥蜴将开放 200 名额免邀试用名额（https://cybersec.antgroup.com推动行业软件供应链安全产品升级。

以及传统软件构成成分分析技术（Software Composition Analysis，SCA）源蜥的“新”与之相比在哪里？用户可以解决哪些痛点？

1、传统 SCA 顾客面临的问题

传统 SCA 经常遇到的用户 SCA 扫描往往给出数万个漏洞，即使只关注高风险以上的漏洞，也有数千个漏洞。面对数千个高风险漏洞:

一方面，修复漏洞的成本非常高，整个修复会严重影响业务的快速发展，难以在企业内部落地；

另外，如果不修复这些漏洞，对企业造成严重安全威胁的漏洞也会被吞没，使企业面临更大的安全风险。

2、原因分析

传统 SCA 检测漏洞主要包括三个环节，如图所示。 1 所示：

(1)对应用程序进行软件材料清单 ( Software Bill of Materials，简称 SBOM）对依赖部件清单进行分析和分析。

通过收集和分析获得漏洞信息。

(3)通过与部件清单相关的漏洞信息获得漏洞

图 1 传统 SCA 漏洞检测原理

传统 SCA 造成数以万计漏洞的主要原因有两个：

（1）传统 SCA 做 SBOM 分析的粒度是零件级别。只要应用程序依赖于含有漏洞的零件，无论应用程序是否调用了漏洞的触发点，都会被认为存在漏洞，造成很多乱报。

(2)业界公开的漏洞信息很多，传统 SCA 只关注漏洞本身的危害程度，而不关注漏洞在行业中实际使用的风险，然后向用户推送大量没有使用风险的漏洞进行修复。

比如，仅 2023 年公布的 CVE 漏洞就超过 2.6 一万个，但是即使是其中一些危害程度很高的漏洞，也很可能没有公开。 POC 或者试着在野外使用，使用风险很低，也不需要顾客关注。

3、源蜥技术的“新”在哪里？

【源蜥蜴】针对上述用户痛点，依托蚂蚁安全团队在【程序分析】和【威胁信息】领域的领先技术优势，创新性地提出并实现【"函数级" SBOM】以及【漏洞检测风险评估】两项技术，让用户关注实际触发应用程序的漏洞，行业内实际应用风险较大，大大降低了用户软件供应链漏洞的运营成本，如图所示 2。

图 2 源蜥漏洞检测原理

3.1 函数级 SBOM 技术

由于大多数漏洞的触发都有一个或多个触发函数，只有应用程序及其所依赖的二、三方部件实际上调用了一个漏洞触发点的函数，才能实际触发漏洞，才是需要用户关注的漏洞。

函数级 SBOM 就是在零件级别 SBOM 在分析的基础上，利用蚂蚁安全的大量源代码分析、存储和查询技术，进一步“画像”应用及其所依赖的二三方部件，“绘制”应用程序所依赖的所有函数的清单。

源蜥通过使用 SBOM 分析能力从【零件级】提高到【函数级】，帮助用户准确过滤大量乱报“漏洞”，提高效率。 60% 以上。

图 3 源蜥函数级 SBOM 分析技术

3.2 漏洞检测风险评估

源蜥通过多维漏洞信息，只向客户透露经分析存在实际应用风险的漏洞，例如， POC 已经公开的漏洞 / 已经试图在野外使用的漏洞，降低了没有使用风险的漏洞信息 80% 以上。

源蜥在选择高利用风险漏洞信息的基础上，还会对漏洞的触发点函数进行分析，然后结合函数级。 SBOM 对实际有影响的漏洞进行精确分析。

图 4 源蜥漏洞检测风险评估技术

4、总结

软体供应链漏洞一般影响较大，易于被外部攻击者使用，对公司的安全构成较大威胁，也是每年都有的。 HW Top 类型风险，是公司高优先考虑和处理的安全风险。

但传统 SCA 工具因为 SBOM 粒度较粗，漏洞情报不区分实际使用风险，导致经常扫描出一万多个漏洞，在公司难以落地。

针对这一用户痛点，蚂蚁安全率先提出了新一代软件供应链安全技术——源蜥。源蜥利用蚂蚁安全团队在程序分析和威胁情报领域的领先技术优势，创新性地提出并实现了“函数级” SBOM】以及“漏洞检测风险评估”两项技术，让用户关注实际应用会触发的漏洞，而且行业内实际上存在较大的应用风险，不再苦于经常扫描的数万个漏洞而无计可施，大大提高了安全团队的运营效率。

源蜥新一代软件供应链安全技术及传统 SCA 核心能力对比