Lucent Sky AVM 具有 3 組分析引擎,二進位分析、程式碼分析、相依性分析。二進位分析和程式碼分析掃描應用程式以識別未知的弱點,例如 SQL injection、cross-site scripting、weak encryption 等等。這些未知的弱點使用 CWE ID 來分類。相依性分析則掃描應用程式以識別其相依性中已知的弱點。這些弱點通常有一個 CVE ID 以及一個底層的 CWE ID。
這個文章說明如何掃描應用程式的相依性來識別已知的弱點,以及設定相依性分析的行為。
在這個文章中,你將會學習如何:
- 掃描應用程式相依性中已知的弱點
- 設定相依性分析的行為
本文結束後,你將能夠掃描應用程式相依性中已知的弱點,以及設定相依性分析的行為。
掃描應用程式相依性中已知的弱點
掃描應用程式相依性中已知的弱點,在應用程式設定或掃描設定中開啟 Dependency 來源。
當一個已知的弱點被發現時,若它主要的 CWE 編號在該掃描的弱點原則中有開啟,它會被以該 CWE 編號來分類。若否,它則會被分類為 CWE-1104: Use of Unmaintained Third Party Components。舉例來說,當掃描發現了一個包含 CVE-2021-44228 的元件,若 CWE-502 在弱點原則中是開啟的,它會被歸類為 CWE-502。否則,它會被歸類為 CWE-1104。
設定相依性分析的行為
除了相依性分析以外,相依性分析引擎亦驅動進階相依性探索。相依性探索幫助二進位和程式碼分析引擎識別常見的軟體元件,讓它們能被更有效率的分析。進階相依性探索使用超過 60 種訊號來準確的識別應用程式的相依性。然而,進階相依性探索並非和所有應用程式皆相容,且可能無法用於組態錯誤的應用程式上。如果進階相依性探索無法使用,就無法進行相依性分析。
如果掃描未開啟 Dependency 來源,會嘗試使用進階相依性探索。如果它無法使用,掃描會改用基本相依性探索。如果掃描開啟 Dependency 來源,當進階相依性探索無法使用時,掃描將會失敗。
要特定使用基本相依性探索,將掃描參數 DependencyDiscovery 設定為 basic。