SCA - การวิเคราะห์องค์ประกอบซอฟต์แวร์ CI/CD

May 02 2023

การวิเคราะห์องค์ประกอบซอฟต์แวร์คืออะไร? SCA เป็นการวิเคราะห์ประเภทหนึ่งที่เกี่ยวข้องกับการสแกนโค้ดและการอ้างอิงเพื่อระบุโอเพ่นซอร์สหรือคอมโพเนนต์ของบุคคลที่สามที่กำลังใช้งานอยู่ และเพื่อตรวจหาช่องโหว่ที่รู้จักหรือปัญหาการปฏิบัติตามใบอนุญาตที่เกี่ยวข้องกับคอมโพเนนต์เหล่านี้ มีเหตุผลหลายประการที่จำเป็นต้องใช้ SCA ตลอดวงจรการพัฒนาที่ปลอดภัย

การวิเคราะห์องค์ประกอบซอฟต์แวร์คืออะไร?

SCA เป็นการวิเคราะห์ประเภทหนึ่งที่เกี่ยวข้องกับการสแกนโค้ดและการอ้างอิงเพื่อระบุโอเพ่นซอร์สหรือคอมโพเนนต์ของบุคคลที่สามที่กำลังใช้งานอยู่ และเพื่อตรวจหาช่องโหว่ที่รู้จักหรือปัญหาการปฏิบัติตามใบอนุญาตที่เกี่ยวข้องกับคอมโพเนนต์เหล่านี้

มีเหตุผลหลายประการที่จำเป็นต้องใช้ SCA ตลอดวงจรการพัฒนาที่ปลอดภัย

ความปลอดภัย : ส่วนประกอบโอเพ่นซอร์สและไลบรารีของบุคคลที่สามมักมีช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึงแอปพลิเคชันหรือระบบโดยไม่ได้รับอนุญาต SCA ช่วยระบุช่องโหว่เหล่านี้ตั้งแต่เนิ่นๆ ในกระบวนการพัฒนา ทำให้นักพัฒนาสามารถแก้ไขข้อบกพร่องก่อนที่จะถูกโจมตีในสภาพแวดล้อมการผลิต

การปฏิบัติตาม : ส่วนประกอบโอเพ่นซอร์สจำนวนมากได้รับอนุญาตภายใต้ข้อกำหนดและเงื่อนไขเฉพาะที่อาจมีผลทางกฎหมายหากไม่ได้รับการจัดการอย่างเหมาะสม SCA สามารถช่วยระบุปัญหาการปฏิบัติตามใบอนุญาตได้ตั้งแต่เนิ่นๆ ในกระบวนการพัฒนา ซึ่งช่วยให้นักพัฒนาสามารถแก้ไขปัญหาได้ก่อนที่จะกลายเป็นความรับผิดชอบทางกฎหมาย

ประสิทธิภาพ : ส่วนประกอบโอเพ่นซอร์สและไลบรารีของบุคคลที่สามสามารถเป็นทรัพยากรที่มีค่าสำหรับนักพัฒนา เนื่องจากสามารถช่วยเร่งกระบวนการพัฒนาและลดความจำเป็นในการเขียนโค้ดตั้งแต่เริ่มต้น ประหยัดเวลาและความพยายามในกระบวนการพัฒนา

ความสามารถในการบำรุงรักษา : เมื่อซอฟต์แวร์วิวัฒนาการและมีการเพิ่มหรืออัปเดตส่วนประกอบใหม่ การติดตามการขึ้นต่อกันทั้งหมดและช่องโหว่ที่เกี่ยวข้องหรือปัญหาการปฏิบัติตามข้อกำหนดอาจกลายเป็นเรื่องยาก SCA สามารถช่วยติดตามการพึ่งพาเหล่านี้และตรวจสอบให้แน่ใจว่ามีการจัดการอย่างเหมาะสมตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์

มีเครื่องมือ Software Composition Analysis (SCA) หลายตัว:

โซนาไทป์ Nexus IQ
เป็ดดำ
สนุ๊ก
ไวท์ซอร์ส
ตรวจสอบการพึ่งพา OWASP
สพส

ในปี 2020 ถูกค้นพบ การโจมตีห่วงโซ่อุปทานของ SolarWinds การโจมตีส่งผลกระทบต่อหน่วยงานรัฐบาลของสหรัฐฯ หลายแห่ง เช่นเดียวกับบริษัทเอกชนหลายแห่ง

ผู้โจมตีใส่มัลแวร์ลงในการอัปเดตผลิตภัณฑ์ซอฟต์แวร์ที่ชื่อว่า Orion ซึ่งพัฒนาโดย SolarWinds บริษัทไอทีในเท็กซัส การอัปเดตดังกล่าวถูกเผยแพร่ไปยังลูกค้าของ SolarWinds รวมถึงหน่วยงานรัฐบาลของสหรัฐอเมริกาหลายแห่งและบริษัทที่ติดอันดับ Fortune 500

หากต้องการรวมการตรวจสอบการพึ่งพา OWASP กับ GitLab CI/CD คุณสามารถทำตามขั้นตอนทั่วไปเหล่านี้:

ติดตั้งและกำหนดค่าปลั๊กอินตรวจสอบการพึ่งพาใน GitLab คุณสามารถค้นหาปลั๊กอินในตลาด GitLab
ในไปป์ไลน์ GitLab CI/CD ของคุณ ให้เพิ่มขั้นตอนใหม่สำหรับการสแกนการพึ่งพาโดยใช้การพึ่งพาการตรวจสอบ ตัวอย่างเช่น คุณสามารถเพิ่มขั้นตอนต่อไปนี้ใน.gitlab-ci.ymlไฟล์ของคุณ:

นอกจากนี้ สิ่งสำคัญคือต้องอัปเดตเครื่องมือ SCA ของคุณเป็นประจำ และรับทราบข้อมูลเกี่ยวกับช่องโหว่ใหม่ ๆ และการอัปเดตการขึ้นต่อกันของบุคคลที่สามเพื่อให้แน่ใจว่ารหัสของคุณปลอดภัยและเป็นไปตามข้อกำหนด