聊聊SCA能力建设与演进，美团安全团队携议题亮相CIS 2021网络安全创新大会

春光明媚，最是相见好时节！经历两月有余的期盼，由网络安全行业门户FreeBuf主办的 「CIS 2021网络安全创新大会Spring·春日版」（以下简称CIS 2021大会春日版）于3月2日～3日在上海开启线下录制。本次大会主题为“刷新认知，安全生长”，现场设置了一个主论坛以及两个专场，数十位议题主讲人齐聚盛会，与线下行业观众共同探讨行业前沿话题，分享深度安全议题。

大会现场，美团安全工程师李中文携议题《软件成分安全分析（SCA）能力的建设与演进》登台，从业务对于软件成分安全分析的需求出发，分享从零开始打造，可高效运营的SCA能力的落地建设过程，并提出一些对于SCA能力发展的构想。

什么是SCA？通俗讲SCA（Software Composition Analysis）软件成分分析是一种通过分析软件中包含的信息和特征来实现对该软件的识别、管理、追踪的技术。

在当今软件开发中，开源安全威胁已成为企业无法回避的话题，而应用SCA技术对应用程序进行安全检测、实现安全管理是最行之有效的方法之一。但由于技术栈宽泛、运营流程不清晰、跨部门协作困难等原因，SCA在落地的过程中会遇到各种无法规避的问题。

目前市面上比较主流的SCA商业产品，由于风险数据库完整度、与现有研发流程耦合程度及性能和社区支持不完整等原因，不能很好地融入企业内部的研发流程，但恰巧的是，这一部分能力在企业内部对于SDL工作而言又是不可或缺的。

因此需要安全团队结合业务团队的需求和自身对于风险的理解，综合企业内部的研发流程现状和现有的技术与数据能力、应用成本、ROI等因素考虑，量身定制适合企业自身的SCA能力。

通过梳理安全视角下的研发风险，以及业务视角下的安全研发风险，SCA的建设过程大致可分为三个阶段：数据盘点与收集、SOP（Standard Operating Procedure，标准运营流程）和概念验证建设，以及平台化及配套稳定工作的建设，从而实现SCA的四大核心功能——软件资产的透视、风险数据的发现、风险与资产关联基础设施的建设、可视化相关需求，从而保证企业安全。

根据目前SCA的现状分析，未来的建设方向也基本明确——追求足够细粒度的资产和风险透视能力、风险的主动识别能力、开源软件的基线检查能力，同时考虑安全的对抗属性，逐步加入对抗的检测和加固，防止漏网之鱼。

打造属于企业自身的SCA能力建设，仍有很多问题和挑战等待安全从业者们去发现和解决，也希望更多志同道合的人才关注此领域发展，一起互通有无，共同探讨。

最后，感谢CIS 2021大会春日版提供平台，让我们有机会同业界伙伴分享交流，本次议题分享的文字版即将推出，请大家保持期待，持续关注我们。

-----------------------------

近期热招职位如下

欢迎投递简历至EDP.src@meituan.com