基于SBOM的软件供应链安全情报与治理是基于开源项目元素、文件特征、代码片段、威胁风险情报库等数据为基础的软件风险检测、监控、告警与治理方案，主要面向企业开发项目中开源组件引入的检测需求，在满足当前开发模式的前提下，基于开源数据采集与管理、多因子软件成分分析、基于SBOM的风险告警、开源风险治理闭环技术研究，通过SBOM实现了软件成分分析、软件开源风险分析、软件开源风险告警、开源软件漏洞验证、开源软件漏洞修复等能力模块，帮助组织快速构建开软件供应链安全保障体系。

关键技术：

1、多源开源数据采集分析技术

开源基础数据的情报能力，是整个系统的地基，只有基础数据的及时性，完整性，才让让系统提供真实有效的报告和解决方案。基于这样的要求，需要建立一套自动化的情报数据采集分析清洗的数据服务流程。

通过对接国内外多数据源，包括组件信息源、漏洞数据源、代码片段数据源、开源项目数据源等。组件信息有Mavne仓库、Nuget、Composer、Pip等，漏洞数据源有：CNNVD、CNVD、NVD等，除此之外还会对国内外各大开源代码社区中的开源项目获取代码片段数据以及开源项目数据等信息。多源开源数据采集分析技术将会根据每日数据源的特点会进行同步匹配，并且通过算法进行多源的数据验证，保证数据的有效性。同时对国内外各大开源代码社区中的重点项目进行监控，及时获取项目的动态信息，多维度的完善开源项目的评测数据。

2、多因子软件成分及风险技术

多因子软件成分及风险技术结合了依赖分析、码纹分析、代码片段分析和二进制分析、运行时分析等多种技术，旨在提高对软件成分和相关风险的全面分析和评估能力。

依赖分析技术基于静态和动态分析方法，对软件的依赖关系进行分析和识别，包括库文件、模块、API调用等。通过收集和记录软件的依赖信息，包括版本、来源、许可证等，以构建完整的依赖关系图。结合开源数据知识库分析依赖的稳定性和安全性，评估依赖的可信度和潜在的风险。

码纹分析技术通过静态分析技术，搜集软件中的字符串、文件和目录信息，并映射到开源软件知识库中，以便在使用 C 和 C++ 等语言构建的应用中识别开源和第三方组件。

代码片段分析技术通过识别应用软件中的代码片段，将识别到的代码片段与开源数据知识库中的组件代码片段进行匹配，从而检测出引入的代码片段，从代码级对开源组件的风险进行检测和识别。

二进制分析技术通过对软件的二进制文件进行分析和反汇编，提取二进制代码中的关键信息，如常量字符串、部分类名称、函数名称、以及一些配置信息，再运用匹配算法进行相似度计算，并根据相似度门限来检测出引用的开源软件。除此之外，还可分析二进制代码中的CFG调用图、DFG数据流图等信息对开源软件进行更加精准的检测。获取到软件中的开源软件成分后，可结合开源数据知识库进行风险分析。

运行时分析技术通过运行时插桩，监测和分析应用程序的运行过程中的组件加载、交互和行为，以获取关于组件及其依赖关系的详细信息，从而识别出识别出被加载和使用的组件。该技术可在无源代码的情况下对软件的开源组件进行分析，并分析组件的安全性评估，评估组件的潜在安全风险和可信度。

3、开源漏洞可达性验证技术

开源漏洞可达性验证技术是一种用于验证开源软件中已公开的漏洞是否对特定环境和配置可达的技术。它的目的是帮助用户评估和理解其使用的开源软件的潜在风险，并采取相应的安全措施。

已知的开源软件漏洞仅给出漏洞对应的组件或版本，需要进一步将漏洞对应到函数或行，才能用于漏洞可达性分析。开源漏洞可达性验证技术需要先将数已知漏洞及缺陷对应到代码片段（函数或者行）,以支持细粒度漏洞可达性分析。之后通过静态代码分析技术，对函数调用控制流分析、值依赖等进行分析，判断自研代码到漏洞是否存在可达路径，从而判断漏洞是否会被自研代码触发。

4、开源漏洞运行时修复技术

运行时应用安全防护技术（RASP）是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。

开源漏洞运行时修复技术采用了轻量级的运行时应用安全防护技术，通过运行时插桩技术，在不影响业务系统情况下，对内存中的漏洞代码进行动态修复，从而对特定组件和漏洞精准防御。

应用效果：

1.实现多场景下的软件安全分析能力

不同组织和环境中使用的开源软件有不同的特点和需求，比如应用系统只运行在生产环境，或者并没有对源代码进行维护。因此，在不同场景下进行安全分析具有挑战性。本系统采用多因子软件成分技术，除了能够对源代码进行分析检测之外，还可对二进制文件、运行时应用程序进行成分分析并生成SBOM文件，通过灵活的分析方法和可配置的工具链，能够适应各种场景的需求。

2.实现开源软件漏洞的检测、验证、修复管理闭环；

开源软件在各个领域得到广泛应用，但同时也面临着安全漏洞的威胁，目前已有的检测方案中往往会识别出大量的开源软件风险，如何对这些风险进行验证及后续的处置成为了主要问题。

本方案基于软件物料清单SBOM文件，通过多因子成分分析及风险分析技术、漏洞可达性分析技术、漏洞运行时修复技术，能够实现对软件的开源成分进行分析，并实现风险进行识别、验证及修复的管理闭环，为用户提供一个全面、高效和可持续的软件供应链开源风险解决方案。

应用场景：

1.实现多场景下的软件安全分析能力

不同组织和环境中使用的开源软件有不同的特点和需求，比如应用系统只运行在生产环境，或者并没有对源代码进行维护。因此，在不同场景下进行安全分析具有挑战性。本系统采用多因子软件成分技术，除了能够对源代码进行分析检测之外，还可对二进制文件、运行时应用程序进行成分分析并生成SBOM文件，通过灵活的分析方法和可配置的工具链，能够适应各种场景的需求。

2.实现开源软件漏洞的检测、验证、修复管理闭环；

开源软件在各个领域得到广泛应用，但同时也面临着安全漏洞的威胁，目前已有的检测方案中往往会识别出大量的开源软件风险，如何对这些风险进行验证及后续的处置成为了主要问题。

本方案基于软件物料清单SBOM文件，通过多因子成分分析及风险分析技术、漏洞可达性分析技术、漏洞运行时修复技术，能够实现对软件的开源成分进行分析，并实现风险进行识别、验证及修复的管理闭环，为用户提供一个全面、高效和可持续的软件供应链开源风险解决方案。

拟解决的问题：

当前，开源软件的安全问题已引起了市场的广泛关注。越来越多的企业和组织意识到，对开源软件的安全问题进行有效治理，不仅可以避免潜在的安全风险，而且还能改善业务运行的稳定性和可靠性。

总的来说，市场对于软件供应链开源安全风险治理的主要需求可以归结为以下几点：

(1)开源组件的安全分析与评估：通过开源组件的安全分析和评估，了解组件中可能存在的安全漏洞，以及这些漏洞对业务的潜在影响；

(2)开源许可证的合规性管理：由于不同的开源组件具有不同的许可证要求，组织需要合规性管理工具，以确保他们的使用行为符合开源许可证的要求，避免因此产生法律风险；

(3)开源漏洞的可达性验证：应用软件中引入的开源组件数量庞大，通过会检测出大量的风险开源组件，需要对风险开源组件进行漏洞可达性验证，从而将研发资源集中在修复真实存在的漏洞中；

(4)开源风险的持续监控：市场需要能够实时监控开源组件的安全状态的解决方案，以便在出现新的安全漏洞时能够及时发现并采取应对措施；

(5)开源组件漏洞的修复：当出现新的安全漏洞时，需要能够快速对存在漏洞的应用软件进行定位及快速修复，且不能影响应用软件的正常运行。除此之外，在对开源组件漏洞进行修复时，存在代码兼容性问题甚至有代码无法正常维护的情况，需要有一种切实有效方式完成漏洞修复。

对于软件的供应链安全和合规问题进行有效治理，已成为市场的迫切需求。