根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件、第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源代码比例甚至达到80%以上。开源代码的使用大幅度提高软件研发效率、缩短上市时间、降低开发成本,但是开源软件中存在的大量缺陷、甚至安全漏洞也一并进入了软件部署包,为软件带来巨大的安全风险。
北京大学软件工程国家工程研究中心多年来致力于软件安全技术研究,立足国际研究前沿,洞察软件安全发展趋势,与北京北大软件工程股份有限公司合作,历经三年时间研制库博软件成分分析与漏洞检测工具(CoBOT-SCA,Software Composition Analysis),于2019年7月15日正式对外发布。该工具首次打破国外工具在中国市场的长期垄断,为软件企业和组织提供软件成分分析和安全漏洞检测。
CoBOT-SCA工具采集和分析了来自Github、GitLab、SourceForge等主流开源网站约100万个高排名开源项目,超过75亿个开源文件,以及50多万个二进制程序。CoBOT-SCA工具安全漏洞库积累超过20万个公开和未公开漏洞数据,同时支持80种以上许可证分析。
CoBOT-SCA工具提供软件代码成分清单,能够使IT人员全面掌握组件、版本、许可证、漏洞以及相应的升级信息等。通过对被引用组件的漏洞检测、跟踪和提供修复建议,能够规避已知漏洞,降低企业面临的软件安全风险。通过成分分析,让采购方或管理者全面掌握软件代码的自研比例,为评估软件资产价值提供依据,实现成本最小化和资源最大化。