微软云安全套件提供整合源代码分析功能

网络安全公司 Endor Labs表示，微软已将旗下的软件成分析技术（英文缩写为SCA）以原生的方式整合到旗下的Microsoft Defender for Cloud 云原生应用保护平台中。

这意味着安全团队现在可以将应用安全和云安全项目整合到一个平台上及跨越软件开发和部署周期所有阶段的统一仪表板。

SCA是一种用于识别和管理软件应用程序中开源组件和依赖关系的流程。SCA侧重于分析软件代码库，进而检测第三方库、框架和开源组件的使用情况。CNAPP （云原生应用保护平台）保护云原生应用程序的方式是通过处理软件容器、Kubernetes 容器编排器、无服务器功能和微服务等的独特特性。

Endor Labs 周二表示，原生整合使团队能够将 SCA 发现与运行时警报进行关联，可以查看代码到运行时的攻击路径。这意味着他们可以在云环境中将开源软件依赖关系中发现的可利用漏洞追踪哪些潜在利用路径。这样就可以进行更有针对性的修复。

从代码追踪运行时漏洞还可以揭示一些难以发现的问题，例如一些在互联网可访问的云工作负载上使用的开源软件包中的可达漏洞。Defender for Cloud 用户可以看到完整的从提交的代码到云中运行时工作负载的攻击路径。

尽管根据 Endor Labs 的研究只有 9.5% 的漏洞可在特定应用程序环境中被利用，但团队要识别关键漏洞可能会非常困难。该公司的报告表示，风险往往没有被充分记录，只有 2% 的公共公告包含有关哪些库函数存在风险的信息。

安全团队现在可以利用 Defender for Cloud 整合，对他们发现的每个漏洞进行函数级可达性分析，并查看正在运行的应用程序中是否存在函数级可达的漏洞。发现了“可达”漏洞就表明开发人员的代码存在一些通过开源依赖关系到存在漏洞的库或函数的攻击路径。

Defender for Cloud整合目前处于公开预览阶段，将由 Azure市场提供。