漏洞管理服务 CODEARTS INSPECTOR-成分分析的开源软件风险如何分析?
成分分析的开源软件风险如何分析?
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查:
- 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确(可由相关文件的开发或提供人员协助分析),如果否,则无需后续分析。
- 已知漏洞分析,分析已知漏洞是否准确。
通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号,获取漏洞详情
- 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
- 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
- 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
- License合规分析。基于报告中开源软件及对应的License分析软件是否合规,满足公司或准入要求。
- 风险解决方式:
- 已知漏洞:如果当前使用的软件版本存在漏洞,可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
- License合规:如果使用的软件存在合规风险,则需要寻找相似功能且合规的开源软件进行替代。
- 二进制成分分析_VSS漏洞扫描_开源漏洞扫描-华为云
- 二进制成分分析怎么买_华为开源软件漏洞扫描购买流程_开源软件扫描工具怎么买-华为云
- 二进制成分分析费用_VSS漏洞扫描的价格_二进制成分分析费用-华为云
- 二进制成分分析哪家好_VSS漏洞扫描哪家好_二进制代码开源漏洞扫描-华为云
- 二进制软件漏洞扫描推荐_国内开源软件漏洞扫描_开源软件漏洞扫描购买-华为云
- 软件开发生产线CodeArts_软件开发平台_开发工具-华为云
- 漏洞扫描服务_sql注入漏洞扫描工具_ 网络漏洞扫描工具_sql注入漏洞扫描器
- 提高软件交付效率与质量方式_软件发布_制品仓库工具-华为云
- 简单快速使用软件开发生产线 _软件开发生产线_软件开发-华为云
- 漏洞扫描应用场景_Web漏洞扫描_主机漏洞扫描-华为云