Socket 收购 Coana 告诉你哪些安全警报可以忽略

在其最新一次减少不必要安全警报干扰的策略中，Socket 收购了 Coana，这是一家由丹麦奥胡斯大学研究人员于 2022 年创立的初创公司，旨在告知用户哪些漏洞可以安全地忽略。

Socket 供应链安全业务的首席执行官 Feross Aboukhadijeh 在接受 The Register 采访时表示，“所有安全工具的问题（而这并非我们首创）在于警报太多了。噪音太大了。”

工具越好，产生的噪音也就越多。

Aboukhadijeh 解释说，“如果你发现的漏洞是其他工具找不到的，那你最终将收到更多警报。”

他进一步表示，Socket 的客户——那些使用该公司依赖扫描工具来捕捉应用库中漏洞的软件开发者——已反映了这一问题。他们不希望一次彻底的依赖扫描会不必要地增加他们的工作量。

来自 'npm audit' 的安全警告泛滥使开发者分心

现代软件应用通常包含大量依赖项。这些依赖项是被导入应用中的模块、框架或库，用以提供一系列功能或能力，从而使开发者无需为已解决的问题重复造轮子。

根据 GitHub 2020 年《Octoverse 状态报告》 [PDF]，“JavaScript 的中位依赖量最高（10 个），其次是 Ruby 与 PHP（9 个），Java（8 个），而 .NET 与 Python 最少（6 个）。”

然而，每个直接依赖可能还会带有间接或传递性依赖——即由其他模块导入的模块。可以想象，一位晚宴嘉宾带了一位朋友，而这位朋友又邀请了更多人，而每个人可能还会带来伴侣，情况会迅速变得难以管理。

这也是为什么 JavaScript 应用中的传递性依赖中位数约为 683。

与此相比，在 PHP、Ruby 与 Python 等语言中，由于各自打包理念的差异，中位依赖总数分别较低，为 70、68 和 19。具体来说，依赖 npm 软件包注册中心的 JavaScript 生态系统鼓励采用微打包——也就是使用大量小型库的方式——而其他语言则不然。

关键在于，开发者创建应用时往往会导入大量第三方软件，这些软件需要严格检查以发现潜在的安全缺陷。

这时，Coana 问世。Socket 构建工具以寻找漏洞，而 Coana 则致力于构建工具识别哪些漏洞可以被忽略。

Coana 开发了一种可达性分析方法，以确定攻击者是否真的能够触及并利用某个软件漏洞。

Aboukhadijeh 将可达性分析比作检查一所房子中的门的数量。如果前门未锁，则存在直接的安全风险；但如果地下室中有扇未锁的门，且其前还有几扇锁着的门，则可能还有其他更需要关注的问题。

Aboukhadijeh 表示，其他公司也已实现可达性分析系统，但他认为其工具运行缓慢。

他解释道：“你可能会遇到一个扫描过程需要运行 10 小时，或者在大型代码库上根本无法完成扫描的情况，所以实际上很难部署这种工具。”

他说，Coana 的实现能够在合理的时间内完成扫描，而且误报与漏报都极少。

Coana 的联合创始人兼首席产品官 Martin Torp 表示，他们的方法依赖于静态分析，而非运行时分析，主要原因在于部署起来更简单。

他说：“但静态分析的难点在于分析精确度与可扩展性之间的权衡。而在能够扩展到大型企业应用同时仍然保持高度准确的结果之间找到最佳平衡点，确实相当困难。”

Torp 解释说，Coana 通过对人们实际编程方式做出一些假设，从而使其静态分析（即在不运行代码的前提下分析代码）更为高效。

Torp 说：“我们知道代码中存在一些理论上可以写出但在实际中非常罕见的模式。通过找到这种反映人们实际编程方式的启发式方法，我们构建出一种既适合大规模分析，又具有极低漏报率和误报率的工具。”

他补充道，这一成果对于 JavaScript 和 Python 等动态编程语言尤其具有吸引力，因为这些语言的某些特性只有在程序运行时才能显现出来，使得静态分析显得更加困难。

Torp 表示：“从用户的角度看，他们拥有一个应用，该应用依赖于一些软件库或包，而这些包中几乎总是存在漏洞。而可达性分析所做的，就是扫描整个应用——包括所有依赖代码——并过滤或标记出在该特定应用环境中实际相关的漏洞。”

从本质上讲，用户将会收到通知，指出哪些漏洞实际上不可能被利用，从而大大减轻安全团队的工作负担。

Aboukhadijeh 指出，安全工作负载并没有改善，反而愈发严峻，并提到 Socket 每周大约会发现 500 个恶意软件包。

他说：“实际上 npm 团队曾告知我，对于下载量较低的恶意软件包，他们不会优先处理。”