标签
SafeDep推出了代码分析框架,增强其开源SCA工具vet的能力,使其能够区分包清单(如requirements.txt或package-lock.json)中声明但未实际使用的依赖项。该工具通过扫描代码库生成分析数据库(vet code scan),在扫描时结合代码上下文信息(--code参数),从而消除误报和噪音。这解决了当前大多数SCA工具缺乏代码上下文信息的问题,可显著提高漏洞扫描的准确性并减少安全告警中的假阳性。
传统SCA工具通过匹配库版本与CVE数据库产生大量误报,造成告警疲劳;Next-gen SCA通过可达性分析(reachability)判断应用是否实际调用了易受攻击的函数,仅报告真正可利用的漏洞。此外,现代供应链攻击要求工具超越CVE扫描,主动检测开源组件中的恶意代码。SafeDep指出这些工具仍面临挑战:调用图分析存在近似性、CVE的漏洞函数签名信息不完整、恶意代码判定依赖上下文(Rice定理)。防御方应选择具备代码上下文感知、支持可信度评估、且能识别恶意代码的政策驱动型SCA工具。
安全团队正在使用 SafeDep 的开源工具 vet 建立针对开源组件的安全防线,以解决传统 SCA 工具误报率高、噪音大的问题。该工具通过“策略即代码”功能,允许团队强制执行定制化的安全策略,拦截不安全的依赖项。SBOM 在受监管行业被强制要求的环境下,vet 可帮助将被动检测转变为主动预防,从而维护可信的软件供应链。
SafeDep在SafeDep Cloud平台上推出了SQL查询功能,允许安全工程师直接用SQL语句查询和导出安全风险信息。通过vet工具,用户可以跨组织范围查询SBOM中的漏洞数据,如按CVE ID筛选风险等级为CRITICAL的漏洞。该功能目前处于邀请预览阶段,可将查询结果导出为CSV或Markdown格式。
开源软件供应链安全风险日益严峻,Sonatype数据显示恶意开源组件攻击增加700%,xz后门、Solarwinds Orion事件等均为典型案例。现代软件70%-90%依赖开源库,几乎所有商业软件均受影响。传统SCA工具仅能检测已知漏洞,对xz后门等恶意维护者攻击和依赖混淆攻击防护有限,企业需通过策略驱动的安全控制、完整的组件识别及快速响应机制(如Secure Supply Chain Consumption Framework)来应对供应链威胁。
SafeDep推出开源工具vet,用于在软件项目构建前扫描和过滤开源依赖库中的安全风险。该工具支持扫描package-lock.json、gradle.lockfile、pom.xml等主流包管理清单文件,可识别高危漏洞、未维护项目及问题许可证等风险,并支持将过滤规则编写为YAML策略文件集成到CI/CD流水线中实现自动化门禁。开发者可通过brew install safedep/tap/vet安装,项目基于OpenSSF Scorecard数据提供维护性评分。