軟體安全隱患？五大惡意軟體掃描工具揭秘！

擔心下載的軟體存在安全風險？本文揭露五大常被誤解為安全的惡意軟體掃描工具，助您識別潛在威脅，保障電腦安全

由於惡意行為（例如拼字錯誤、依賴關係混淆和引入惡意軟體），開源公共儲存庫可能會對組織構成許多威脅。

然而，由於軟體的複雜性以及在競爭激烈的市場中交付軟體的速度，工程師別無選擇，只能依靠第三方外部程式庫來更快地創建創新應用程式。儘管開源依賴項被廣泛使用、經過徹底測試，並且經常出現漏洞並比專有程式碼更快得到解決，但使用開源程式碼進行編碼並非沒有風險。

本文探討了在軟體開發中使用外部相依性的一些風險，以及可以防止惡意軟體意外包含在您的產品中的十種流行工具，無論其媒介為何。具體來說，我們將研究如何避免與拼字錯誤的軟體包、依賴項混淆和惡意軟體相關的危險，然後檢查可用於減輕這些威脅的不同工具和服務。

開源威脅：了解你的敵人

軟體工程師需要了解在其程式碼運行的執行時間環境中新增依賴項或更新現有依賴項時可能遇到的潛在問題。一些最常見的威脅包括：

• 誤植– 也稱為URL 劫持，當惡意行為者創建受感染的軟體包時，就會發生誤植，這些軟體包在特性/功能上與常用依賴項幾乎相同，但命名略有不同，希望開發人員能夠錯誤輸入安裝指令。當嵌入的惡意軟體或惡意程式碼執行其漏洞時，這些軟體包通常會如預期運作。
• 依賴關係混亂– 許多語言都包含方便的套件管理工具（例如用於 JavaScript 的 npm 或用於 Python 的 pip），可以輕鬆地將第三方相依性新增至專案。但是，如果第三方公共依賴項與內部開發的私人依賴項命名相同，則套件管理器可能會安裝受損的公共依賴項而不是私人依賴項。
• 「惡意軟體」是「惡意軟體」的縮寫。惡意軟體包括病毒、木馬、勒索軟體、間諜軟體和其他可能對您的軟體、電腦系統、客戶和使用者造成嚴重破壞的漏洞。

工程師常常認為他們的組織使用的開源軟體包是安全的並且維護良好，但情況並非總是如此。事實上，無法保證您新增到執行時間環境中的套件沒有惡意軟體。與其盲目地信任公共儲存庫，不如對導入到組織中的內容進行至少有限的檢查始終是一個很好的預防措施。

開源威脅工具

本節介紹了一些可以與常見軟體開發流程整合的頂級工具，以便針對開源依賴威脅提供一層保護。這些解決方案涵蓋從開源工具到商業銷售軟體的各種範圍。同樣，該軟體的範圍從針對特定威脅的單點解決方案到開源安全平台。總的來說，它們可以幫助您建立強大、深入的防禦，但即使單獨使用，它們也可以根據您的需求提供有效的解決方案。

upguard

UpGuard是第三方風險和攻擊面管理平台。它是一種付費解決方案，可以保護您的組織免受各種攻擊和漏洞的侵害，並包含一個拼字錯誤模組。作為平台提供者，他們專注於發展和改進他們的產品，以及支持他們的用戶。

UpGuard 是一項付費服務，具有多種定價模式以滿足您的需求。他們在入職電話會議後提供7 天免費試用（包括演示）。他們為紐約證券交易所等各種具有安全意識的組織提供服務。

• 優點：進入門檻低；使用方便
• 缺點：頻繁誤報；很難及時聯繫到支援團隊

Pypi-掃描

Python 套件索引( PyPI) 是一個線上儲存庫，其中包含各種形狀和形式的 Python 套件。它的可訪問性既是福也是禍，它使得下載可以加速 Python 開發的套件變得簡單，但也讓邪惡的程式設計師很容易上傳惡意軟體。 PyPI 也充斥著拼字錯誤和依賴混淆候選者的範例。

Pypi-scan是一個命令列實用程序，可幫助安全工程師識別潛在的拼字錯誤套件。它還可以幫助軟體工程師確保他們所包含的軟體包符合他們的預期。 Pypi-scan 特別擅長尋找可能的誤植軟體包，但它缺乏識別包含惡意軟體的智慧和分析能力。

• 優點：免費提供開源軟體
• 缺點：範圍僅限於 PyPI；需要與惡意軟體掃描器配合使用才能發揮最大功效

Tidelift 目錄

Tidelift 目錄採用不同的方法來保護組織免受潛在危險，充當免費提供的線上參考，其中包括來自多個生態系統的數千個流行開源軟體包（在撰寫本文時超過7,000 個軟體包），並提供有關哪些軟體包/版本被認為可以安全使用。

如果您訂閱 Tidelift 目錄，您可以獲得有關每個軟體包的更多信息，包括開源許可以及生命週期結束和棄用時間表。如果軟體包中存在漏洞，該服務還提供經過驗證的解決方法。定價取決於您的開發團隊的規模。除了目錄之外，支援團隊還可以協助解決問題，並考慮目錄新增和增強請求。

• 優點：Tidelift 維護合作夥伴可以提供額外的機密信息
• 缺點：目錄大小有限

洛基

如果您的技術堆疊是 NodeJS 並且您擔心依賴關係混亂，那麼Loki是一個可以幫助您增強軟體供應鏈安全性並防止攻擊的工具。使用 Loki，工程師可以掃描他們的專案並識別潛在的漏洞。除了掃描之外，Loki 還具有“攻擊模式”，可以讓工程師在不損害基礎專案完整性的情況下探索潛在的漏洞。

Loki 是一個開源項目，它可以消除許多障礙，將其納入旨在保護企業免受開源威脅的解決方案中。事實證明，它是 NodeJS 開發人員中流行的工具，可以防止程式碼中引入漏洞。

• 優點：開源解決方案；僅有的幾個依賴性混淆工具之一
• 缺點：不是真正的掃描儀，而是「假設」攻擊場景的推動者

Sonatype 的 Nexus 防火牆

Nexus Firewall採用略有不同的方法來保護您的軟體專案免受導入依賴項造成的實際和潛在威脅。防火牆到位後，所有匯入的依賴項都會通過它並被分類為安全、可疑或惡意。允許安全組件通過，而可疑和惡意檔案和套件則進入隔離區域。

Sonatype 安全團隊會審查每個被識別為可疑的元件/依賴項，以便將它們重新分類為安全性（在這種情況下允許它們繼續）或惡意（在這種情況下它們仍然無法使用）。 Nexus Firewall 是一個平台，利用 Nexus 在惡意軟體領域的經驗，並將其與機器學習的力量相結合，以做出明智的決策。定價是根據其支援的工程師數量確定的。

• 優點：自動化的開箱即用規則，但可根據您的需求進行客製化
• 缺點：作為更大的 Nexus Lifecycle 平台的一部分購買，而不是單點解決方案

BluSapphire 的 BlueEye

BluEye是一種惡意軟體偵測解決方案，可主動掃描傳入的檔案和套件，以尋找廣泛且不斷增長的惡意軟體樣本集合。這種方法忽略了包裹是什麼，而是關注其中的內容是否構成潛在威脅。

BluSapphire 平台提供了廣泛的模組，您可以使用它們來保護您的組織免受潛在威脅，其中包括 BluEye Sandbox，它可以自動執行靜態和二進位分析以識別程式碼包中的惡意軟體內容。但該平台也提供廣泛的安全功能，從高階威脅管理到威脅偵測服務，再到可協助調查針對系統的攻擊和漏洞利用的事後分析工具。

與此清單中包含的其他商業銷售的安全平台一樣，BluSapphire 平台需要大量的財務投資。作為交換，BluSapphire 提供一流的工具和支援服務，旨在限制您組織中的安全漏洞和攻擊。

• 優點：一流的解決方案
• 缺點：作為更大安全平台的一部分購買，而不是單點解決方案

GitLab 依賴關係掃描

作為程式碼儲存庫解決方案提供商，GitLab 和類似提供者（例如 GitHub）將依賴項掃描作為其高級產品的一部分。 GitLab 位於軟體生命週期的核心，是開發和部署過程中不可或缺的一部分，因此是執行依賴項和漏洞掃描的絕佳場所。

您可以將GitLab 依賴項掃描配置為定期掃描所有儲存庫，或根據某些條件（例如新增的或修改的程式碼時）進行掃描。支援多種語言的掃描，從 Ruby 到 .NET，再到 Python 和 Java。隨著 Docker 和 Kubernetes 等技術的日益普及，值得注意的是，GitLab 依賴項掃描還可以掃描容器映像以查找位於容器作業系統和特定於語言的二進位檔案中的漏洞。

• 優點：掃描程式碼儲存庫和容器內容
• 缺點：僅適用於進階支援

Synopsys 的黑鴨子

Black Duck 軟體組合分析是常用的 SCA 工具，可協助組織辨識：

• 程式碼庫中的開源依賴項
• 程式碼庫的安全性，包括存在的任何漏洞
• 開源許可訊息
• 程式碼庫的程式碼質量

透過這種方式，Black Duck 可以幫助減輕惡意軟體和包含可利用程式碼的依賴項所帶來的威脅。

Black Duck 結合了多種風險偵測和緩解服務，全面涵蓋您的軟體組成。該服務分析已知漏洞的檔案和依賴項，但它還執行更深入的二進位分析以識別新出現的威脅。此外，它還可以在運行時識別編譯庫和應用程式中包含的開源程式碼。

最後，該服務可以掃描您的專有原始程式碼，以查找可能從開源程式庫收集的程式碼片段。這很重要，因為它可能使您的組織面臨許可和版權侵犯的法律風險。

• 優點：識別錯誤包含在專有程式碼中的開源程式碼
• 缺點：誤報率高

退休JS

軟體不斷發展和改進，但工程師常常習慣使用標準版本的函式庫，而不考慮後續版本中所做的改進。結果是新軟體依賴過時且可能易受攻擊的依賴項。RetireJS是一個基於 NodeJS 的實用程序，旨在透過識別應更新或停止使用的舊的和已棄用的依賴項來解決此問題。

RetireJS 可以用作命令列實用程序，也可以整合到各種開發流程（例如_gulp_或_burp）_中，以識別和報告應停用的套件。與 Loki 和 pypi-scan 一樣，這個開源工具依賴於捐贈和社區參與。然而，它是一個極好的第一道防線，您可以將其融入日常開發活動中。

• 優點：簡單、易於整合的開源工具
• 缺點：僅限於 NodeJS

聲納Qube

最後但並非最不重要的一點是，SonarQube是一種靜態應用程式安全測試(SAST) 工具，可以整合到開發環境中，以在程式碼審查期間識別安全問題，或用作CI/CD 管道中的質量控制機制。它會自動識別錯誤、安全性問題、漏洞等，並在綜合報告中顯示每個問題。

SonarQube 可透過分層定價模式取得，從免費社群版到基於程式碼庫中程式碼行數 (LOC) 的訂閱，以及一些不同的商業支援選項。該工具受到許多世界上最大的科技企業的使用和信任，因此，工程師在履歷中引用他們使用該工具的經驗並不罕見。

• 優點：自動化、一流的 SAST 工具
• 缺點：經常辨識誤報

結論

作為具有安全意識的 IT 專業人員，我們都應該意識到在程式碼中使用外部程式庫和依賴項所涉及的風險。隨著交付時間的縮短和應用程式複雜性的增加，將這些外部資源合併到我們的程式碼庫中是不可避免的，但我們開發安全且定義明確的流程來降低風險至關重要。

當您查看您的選項時，您會發現安全解決方案遠多於像這樣的部落格文章所能包含的內容，因為存在廣泛的軟體供應鏈威脅。雖然您可能會考慮組裝多個解決方案來解決盡可能廣泛的漏洞問題，但將多個解決方案拼湊在一起既費時又費資源（更不用說價格昂貴）。

相反，請考慮使用全面的、開箱即用的解決方案，例如 ActiveState Platform，它可以幫助確保您的開發人員始終使用安全性和完整性來保證的開源套件。得到良好支援的全面安全解決方案可以限制風險和暴露，同時確保您盡最大努力確保每個人的安全，並幫助組織保持在預算限制之內。