近日，螞蟻安全正式對外開放新一代軟件供應鏈安全技術——源蜥。

2024年源蜥將開放200名免邀請試用名額（https://cybersec.antgroup.com/），推動行業軟件供應鏈安全技術升級。

與傳統軟件組成成份分析技術（Software Composition Analysis，SCA）相比，源蜥“新”在哪里？能解決用戶的哪些痛點？

01.傳統SCA用戶面臨的問題

傳統SCA的用戶，經常會遇到SCA掃描動輒報出數萬個漏洞，即使只關注高危以上的漏洞，也有數千個。面對這數以千計的高危漏洞：

一方面，漏洞修復的成本很高，全部修復會嚴重拖累業務的快速發展，在企業內部難以落地；

另一方面，如果不修復這些漏洞，對企業有嚴重安全威脅的漏洞也會淹沒在其中，使企業面臨著較大的安全風險。

02.原因分析

傳統SCA檢測漏洞主要包括三個環節，如圖1所示：

（1）對應用程序做軟件物料清單(Software Bill of Materials，簡稱SBOM）分析得到依賴的組件清單

（2）采集和分析得到漏洞情報

（3）通過組件清單關聯漏洞情報得到漏洞

圖1 傳統SCA漏洞檢測原理

傳統SCA之所以會動輒報出數萬個漏洞，主要原因有兩點：

（1）傳統SCA做SBOM分析的粒度都是組件級，只要應用程序依賴了含漏洞的組件，不管應用程序是否調用了漏洞的觸發點，都會被認為存在漏洞，導致了大量的誤報

（2）業界公開的漏洞情報非常多，傳統SCA只關注了漏洞自身的危害等級，而沒關注漏洞實際在業界被利用的風險，從而將大量不存在利用風險的漏洞也推給用戶去修復。

例如，僅2023年披露的CVE漏洞就超過2.6萬個，但即使是其中一些危害等級很高的漏洞，很可能也沒有公開的POC或被在野利用嘗試，利用風險很低，也無需用戶重點關注。

03.源蜥技術“新”在哪

【源蜥】針對以上用戶痛點，依托螞蟻安全團隊在【程序分析】和【威脅情報】領域業界領先的技術優勢，創新的提出并實現了【“函數級”SBOM】和【漏洞利用風險分析】兩項技術，讓用戶聚焦應用程序實際會觸發、且業界實際存在較大利用風險的漏洞，大幅降低用戶的軟件供應鏈漏洞運營成本，如圖2。

圖2 源蜥漏洞檢測原理

3.1 函數級SBOM技術

由于絕大多數漏洞的觸發都是有一個或多個觸發函數，只有應用程序及其依賴的二三方組件實際調用了一個漏洞觸發點的函數，漏洞才有可能被實際觸發，才是需要用戶重點關注的漏洞。

函數級SBOM就是在組件級SBOM分析的基礎上，利用螞蟻安全海量的源碼分析、存儲和查詢技術，對應用及其依賴的二三方組件進一步“畫像”，“繪制”出應用程序依賴的所有函數的清單。

源蜥通過將應用的SBOM分析能力從【組件級】提升到【函數級】，幫助用戶精準過濾了大量誤報“漏洞”，提效60%以上。

圖3 源蜥函數級SBOM分析技術

3.2 漏洞利用風險分析

源蜥通過多維度的漏洞情報信息，只對用戶透出經過分析存在被實際利用風險的漏洞，如POC已公開的漏洞/已被在野嘗試利用的漏洞，減少無利用風險的漏洞情報80%以上。

在篩選出高利用風險漏洞情報的基礎上，源蜥還會分析出該漏洞的觸發點函數，從而結合函數級SBOM精準分析出實際有影響的漏洞。

圖4 源蜥漏洞利用風險分析技術

04.小結

軟件供應鏈漏洞一般影響面較廣，容易被外部攻擊者利用，對企業的安全性有較大威脅，也是每年HW Top類型的風險，是企業高優先級要關注和處置的安全風險。

但傳統SCA工具由于SBOM粒度較粗、漏洞情報不區分實際被利用的風險，導致動輒掃描出上萬漏洞，在企業難以落地。

針對這一用戶痛點，螞蟻安全在業界率先提出了新一代軟件供應鏈安全技術——源蜥，源蜥利用螞蟻安全團隊在程序分析和威脅情報領域業界領先的技術優勢，創新的提出并實現了【“函數級”SBOM】和【漏洞利用風險分析】兩項技術，讓用戶聚焦應用程序實際會觸發、且業界實際存在較大利用風險的漏洞，不再苦于動輒掃描出的數萬漏洞而束手無策，大幅提升了安全團隊的運營效率。

源蜥新一代軟件供應鏈安全技術與傳統SCA核心能力對比

技術體驗

https://cybersec.antgroup.com

2024年對外開放200名免邀請試用名額，有任何技術相關的問題或建議，歡迎加入釘釘群溝通，釘釘搜索96485007115入群