平行切面技術(shù)體系由螞蟻集團(tuán)首創(chuàng)，是一套基于分布部署架構(gòu)、金融級(jí)切面平行艙技術(shù)和統(tǒng)一運(yùn)維管理的分布式原生安全框架體系，將Aspect-oriented Programming（AOP）面向切面編程的思想融入到現(xiàn)有安全架構(gòu)中，在不影響業(yè)務(wù)正常研發(fā)和運(yùn)行的情況下，為業(yè)務(wù)內(nèi)部注入統(tǒng)一的橫切面，并通過橫切面上的切點(diǎn)將各項(xiàng)安全能力融入系統(tǒng)內(nèi)部，通過標(biāo)準(zhǔn)化接口為安全業(yè)務(wù)提供感知和干預(yù)能力，實(shí)現(xiàn)安全與業(yè)務(wù)應(yīng)用系統(tǒng)的有效解耦和平行迭代。

墨菲安全作為平行切面聯(lián)盟成員之一，憑借“基于切面技術(shù)的軟件供應(yīng)鏈安全”的產(chǎn)品特色和創(chuàng)新實(shí)踐，于2024年7月入選首批“切面聯(lián)盟技術(shù)合作伙伴計(jì)劃”。作為切面聯(lián)盟在軟件供應(yīng)鏈安全領(lǐng)域的合作伙伴，墨菲安全將基于切面框架，與聯(lián)盟共同打造客戶可信賴的原生安全解決方案。

隨著軟件復(fù)雜度的提升和開源組件的廣泛使用，軟件供應(yīng)鏈面臨著組件識(shí)別、漏洞管理等諸多挑戰(zhàn)。這些問題不僅增加了安全風(fēng)險(xiǎn)，還給企業(yè)的安全運(yùn)營帶來了巨大的壓力。墨菲安全深度融合平行切面技術(shù)，通過在應(yīng)用程序的各個(gè)層次嵌入“切點(diǎn)”，實(shí)現(xiàn)安全管控與業(yè)務(wù)邏輯的解耦，同時(shí)為安全業(yè)務(wù)提供內(nèi)視和干預(yù)能力。通過與切面技術(shù)的合作，墨菲安全能夠?qū)崿F(xiàn)監(jiān)控線上應(yīng)用運(yùn)行時(shí)的依賴調(diào)用信息，精準(zhǔn)識(shí)別應(yīng)用的真實(shí)漏洞風(fēng)險(xiǎn)，為軟件供應(yīng)鏈安全提供了一種創(chuàng)新且高效的解決方案。

軟件成分識(shí)別：

從傳統(tǒng)靜態(tài)分析到動(dòng)態(tài)監(jiān)控的轉(zhuǎn)變

傳統(tǒng)的供應(yīng)鏈安全產(chǎn)品多依賴靜態(tài)分析進(jìn)行漏洞識(shí)別，依靠掃描文件和依賴庫來進(jìn)行組件識(shí)別和漏洞匹配。然而，靜態(tài)分析存在一定局限性，特別是在處理復(fù)雜應(yīng)用和實(shí)際運(yùn)行環(huán)境時(shí)，容易產(chǎn)生誤判和遺漏。例如，在某些情況下，靜態(tài)分析方法可能會(huì)錯(cuò)誤地認(rèn)為一個(gè)開源組件存在漏洞，而實(shí)際上這個(gè)組件在實(shí)際運(yùn)行時(shí)并未被使用。

為了解決這些問題，墨菲安全結(jié)合切面技術(shù)，增加了動(dòng)態(tài)監(jiān)控的方式。通過在應(yīng)用程序運(yùn)行時(shí)獲取實(shí)時(shí)的調(diào)用和依賴信息，墨菲安全能夠更加精準(zhǔn)地識(shí)別出哪些組件真正參與了運(yùn)行，哪些組件只是冗余存在。通過這種動(dòng)態(tài)監(jiān)控，墨菲安全能更好地理解應(yīng)用在不同環(huán)境下的實(shí)際運(yùn)行情況，從而有效降低靜態(tài)分析可能帶來的誤報(bào)和漏報(bào)。

更精準(zhǔn)的漏洞識(shí)別：

聚焦真正的風(fēng)險(xiǎn)

墨菲安全進(jìn)一步利用切面技術(shù)，提升了漏洞識(shí)別的精準(zhǔn)度。傳統(tǒng)的漏洞識(shí)別依賴于組件的版本號(hào)和 CPE 信息匹配，這樣的方式容易導(dǎo)致大量誤報(bào)，因?yàn)槁┒纯赡軆H在特定條件下被觸發(fā)，而靜態(tài)分析往往無法完整反映這些細(xì)節(jié)。

通過切面技術(shù)，墨菲安全能夠動(dòng)態(tài)分析應(yīng)用程序中具體的函數(shù)和類，追蹤這些函數(shù)是否會(huì)在實(shí)際運(yùn)行過程中被調(diào)用?；谶@一動(dòng)態(tài)分析，墨菲安全能夠判斷漏洞是否真正能夠在應(yīng)用中被利用。這樣，團(tuán)隊(duì)不僅能夠識(shí)別出應(yīng)用中存在的漏洞，還能有效過濾掉那些即使存在，也不容易被觸發(fā)的漏洞，從而使得漏洞修復(fù)更具針對(duì)性和優(yōu)先級(jí)，避免了資源浪費(fèi)。

高效修復(fù)：

切面技術(shù)支持的自動(dòng)化防護(hù)

在漏洞修復(fù)方面，墨菲安全也探索了切面技術(shù)的自動(dòng)化潛力。傳統(tǒng)的漏洞修復(fù)方法往往依賴手動(dòng)升級(jí)或者打補(bǔ)丁，特別是在開源組件更新頻繁的情況下，這一過程既繁瑣又容易出錯(cuò)。墨菲安全提出了一種新的思路：基于切面技術(shù)的防護(hù)策略下發(fā)。

墨菲安全通過分析漏洞的觸發(fā)點(diǎn)，能夠確定哪些函數(shù)或類是漏洞的關(guān)鍵路徑。利用切面技術(shù)，墨菲安全可以在不修改應(yīng)用代碼的情況下，通過動(dòng)態(tài)下發(fā)防護(hù)策略，實(shí)時(shí)監(jiān)控和阻斷潛在的漏洞利用。通過這種方式，墨菲安全幫助企業(yè)實(shí)現(xiàn)了無感修復(fù)和低成本防護(hù)，使得漏洞的修復(fù)不再依賴繁瑣的升級(jí)和手動(dòng)干預(yù)，而是能夠通過實(shí)時(shí)的策略調(diào)整和防護(hù)機(jī)制來應(yīng)對(duì)漏洞的風(fēng)險(xiǎn)。

技術(shù)落地與未來發(fā)展

基于切面技術(shù)的軟件供應(yīng)鏈安全解決方案已經(jīng)完成了初步的技術(shù)驗(yàn)證，預(yù)計(jì)在Q2實(shí)現(xiàn)正式發(fā)布。隨著切面技術(shù)的深入應(yīng)用，能夠進(jìn)一步提升供應(yīng)鏈安全管理的效率和精度。

墨菲安全對(duì)切面技術(shù)在供應(yīng)鏈安全領(lǐng)域的應(yīng)用前景充滿信心，認(rèn)為這一技術(shù)能夠大幅提升安全檢測的效率，降低誤報(bào)率，并且為企業(yè)提供更具成本效益的安全防護(hù)手段。隨著技術(shù)的逐步成熟和落地，墨菲安全將繼續(xù)推動(dòng)切面技術(shù)在供應(yīng)鏈安全中的廣泛應(yīng)用，并不斷探索新方法來應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。