色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

源代碼與二進制文件SCA檢測原理

IT科技蘇辭 ? 來源:IT科技蘇辭 ? 作者:IT科技蘇辭 ? 2022-10-14 09:12 ? 次閱讀

源代碼與二進制文件SCA檢測原理

1、源代碼與二進制的關系和特點

SCA(Software Composition Analysis)軟件成分分析,通俗的理解就是通過分析軟件包含的一些信息和特征來實現對該軟件的識別、管理、追蹤的技術。SCA具體的檢測原理又是如何實現的,源代碼和二進制文件的SCA檢測又有哪些相同點和不同點,下面內容就來回答一下上述疑問。

對應編譯類型的語言(C/C++/Go/Rust),都是遵循:源代碼—>編譯—>鏈接—>二進制文件的過程。影響二進制文件的因素包括不同的CPU架構(ARM、X86、PPC、MIPS…),不同的操作系統(Wndows、LinuxiOSAndroid…),不同的編譯優化選項(O0~O3),即使是同一套源代碼,最終編譯生成的二進制文件之間也是差別非常大的。注:上述影響因素不涉及java語言

從上面可知源代碼和二進制文件之間存在巨大的差別,源代碼是基于高階語言來編寫,是給人看的,人看了很方便理解其中語句的語義;而二進制是由流(指令流或字節流)來構成的,是給計算機“看”的,對人來說是非常不友好,不好理解。

源代碼包含了變量符號類型、函數名稱、類名稱、代碼邏輯結構等大量豐富的代碼信息,相反為保留二進制文件的緊湊性,編譯生成的二進制文件中會丟棄掉很多運行時用不到的信息,只保留程序正確運行必要的信息,比如被丟棄的信息有變量類型、變量名稱等符號信息,可能被保留的有類名稱、函數名稱等信息,一定會保留的有常量字符串數據。另外為了保證程序的正確運行,還會有保留一個相應的配置信息,比如jar包中的manifest信息、POM信息、maven信息、資源文件等。基于這些特點源代碼SCA和二進制SCA的檢測原理也存在很大的不同。

2、源代碼SCA檢測原理

由于源代碼中包含有豐富的程序信息,因此源代碼的SCA檢測既有大顆粒度的檢測方法,也有細顆粒度的檢測方法。

2.1 大顆粒度檢測方法:根據源代碼文件的相似度來判斷屬于什么組件和版本;文件相似度可以基于hash的嚴格匹配方法,也可以根據文本相似度匹配方法;這種匹配方法的優點是效率高,匹配速度極快,確定是也很明顯,基于hash的容易漏報,基于文本相似度的準確率低;

2.2 細顆粒度檢測方法:經過源代碼—>詞法分析—>Token提取—>語法分析—>AST抽象語法樹—>語義分析過程來提取相應的數據,再通過機器學習、NLP、CFG調用圖、DFG數據流圖等等匹配算法進行代碼相似度的檢測,這種基于語義的代碼相似度檢測與基于文本相似度檢測相比準確率高;

2.3 具備包管理機制的語言,比如Java、Go,可以通過引用的開源軟件包信息來實現開源軟件的關聯分析,這種方法可以幾乎可以100%準確的分析出引用的開源軟件名稱。

3、二進制SCA檢測原理

3.1 雖然好多源代碼中具有的信息在二進制文件中不存在,但是對于常量字符串、部分類名稱、函數名稱、以及一些配置信息還是存在的,并且這些信息具備一定的不變性,即受cpu架構、不同編譯優化選項的影響很小,因此二進制SCA主要從二進制文件中提取這些方面的不同特征,再運用匹配算法進行相似度計算,并根據相似度門限來檢測出引用的開源軟件名稱和版本號。

3.2 結合分析二進制代碼中的CFG調用圖、DFG數據流圖等信息進行更加精準的檢測,但由于這些分析需要對二進制文件進行指令反匯編,導致分析時間非常的長,分析效率低下,因此這種SCA檢測方法不適合對大規模二進制文件進行掃描。

4、源代碼SCA和二進制SCA功能對比

比較項 源代碼SCA 二進制SCA 備注
檢測對象 源代碼 二進制
檢測效率
檢測準確率 稍高 檢測準確率和目標程序引用開源軟件功能多少相關
嵌套組件檢測能力 二進制中不會遺漏所有引入的開源軟件功能特征信息
檢測語言種類 二進制SCA只支持能夠編譯出指令流或字節流二進制文件的語言
文件格式 簡單 復雜 源代碼都可看作文本格式,二進制文件存在pe、elf、coff、jar、apk…
文件特點 一個開源軟件包含N源碼文件 一個二進制文件包含N個開源軟件 一個開源軟件由N>=1個源碼文件;一個二進制文件包含N>=1個開源軟件
檢測階段 開發階段 測試階段
檢測繞過 存在 不存在 源碼在構建環境中引入或鏈接靜態庫引入的開源軟件存在繞過源代碼SCA檢測
樣本特征構建難度 需要編譯構建出二進制
人工確認分析難度 源代碼人工對比分析容易
審核編輯:湯梓紅

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 二進制
    +關注

    關注

    2

    文章

    795

    瀏覽量

    41645
  • SCA
    SCA
    +關注

    關注

    1

    文章

    36

    瀏覽量

    11968
  • 源代碼
    +關注

    關注

    96

    文章

    2945

    瀏覽量

    66734
收藏 人收藏

    評論

    相關推薦

    hex格式和二進制的區別

    HEX格式和二進制在多個方面存在顯著的區別。以下是對這兩者的對比: 一、定義與表示方式 HEX格式 : HEX,全稱為Intel HEX,是一種用于存儲和傳輸數據到嵌入式系統(如單片機)的文件
    的頭像 發表于 11-18 15:24 ?482次閱讀

    base64字符串轉換為二進制文件

    一些編程知識。以下是將Base64字符串轉換為二進制文件的一般步驟,以及一個簡單的Python示例代碼。 步驟: 獲取Base64字符串 :首先,你需要有一個Base64編碼的字符串。 解碼Base64字符串 :使用編程語言提供
    的頭像 發表于 11-10 10:55 ?950次閱讀

    ASCII碼和二進制的轉換關系

    。ASCII碼使用7位二進制數來表示128個不同的字符,包括大小寫英文字母、數字0-9以及一些控制字符和標點符號。后來,ASCII碼被擴展到了8位,即ASCII-8BIT,可以表示256個不同的字符。 二進制
    的頭像 發表于 11-10 09:50 ?1041次閱讀

    二進制編碼器在自動化領域的作用

    二進制編碼器是一種將二進制信號轉換為數字信號的電子設備,廣泛應用于自動化領域。 一、二進制編碼器的工作原理 二進制編碼器是一種將二進制信號轉
    的頭像 發表于 11-06 09:53 ?323次閱讀

    二進制編碼器的種類及特點

    二進制編碼器是一種電子電路,用于將二進制信號轉換為其他格式,如十進制、格雷碼等。以下是一些常見的二進制編碼器種類及其特點: 優先編碼器(Priority Encoder) : 特點 :
    的頭像 發表于 11-06 09:47 ?464次閱讀

    二進制編碼器應用場景 二進制編碼器與模擬編碼器比較

    限性。 二進制編碼器概述 二進制編碼器是一種將輸入信號轉換為二進制代碼的設備。它通常用于數字系統中,將模擬信號或非二進制信號轉換為
    的頭像 發表于 11-06 09:45 ?394次閱讀

    二進制編碼器工作原理 如何選擇二進制編碼器

    二進制編碼器是一種數字電路,它將輸入的二進制代碼轉換為對應的輸出信號。在數字系統中,編碼器用于將數據從一種形式轉換為另一種形式,以便于處理和傳輸。 二進制編碼器工作原理 輸入與輸出關系
    的頭像 發表于 11-06 09:44 ?681次閱讀

    二進制處理中的一些技巧

    二進制和十進制的處理中,有時候一些小技巧是很有用的。 1、把十進制數轉換成二進制數 (1)在MATLAB中有一個函數dec2bin,可以把正整數轉換為2
    的頭像 發表于 07-05 11:51 ?565次閱讀

    二進制串行計數器工作原理是什么?

    在數字電路設計中,計數器是一種非常關鍵的組件,用于測量時間、計數事件或跟蹤狀態變化等。其中,二進制串行計數器作為一種常用的計數器類型,在多種應用場景中都發揮著重要作用。本文將對二進制串行計數器
    的頭像 發表于 05-28 15:52 ?844次閱讀

    如何實現二進制和BCD碼數據的相互轉變?

    如何實現二進制和BCD碼數據的相互轉變? 二進制碼是將十進制數字表示為二進制數和十進制數的一種表示方法。在計算機系統中,
    的頭像 發表于 02-18 14:51 ?3558次閱讀

    鴻蒙二進制數組創建

    你data是非unsigned char。你里面的數據就會轉換錯亂,導致二進制的數據無法再轉換成正確的字符串 代碼實例 錯誤的代碼例子: ? //接收
    的頭像 發表于 01-31 15:24 ?1267次閱讀

    二進制、八進制、十六進制在現實當中有什么意義?

    二進制、八進制、十六進制在現實當中有什么意義? 二進制、八進制和十六進制在現實生活中有著廣泛的應
    的頭像 發表于 01-16 11:14 ?5370次閱讀

    10進制轉換為二進制的算法

    進制轉換為二進制是計算機科學中非常基礎且重要的概念之一。在理解和應用計算機科學的基礎知識時,掌握這個算法是至關重要的。 在開始講解十進制轉換為二進制的算法之前,讓我們回顧一下十
    的頭像 發表于 01-15 10:32 ?3267次閱讀

    10進制轉換為二進制的算法

    10進制轉換為二進制是計算機領域中非常重要的一個問題。在計算機中,所有的數據都是以二進制形式進行存儲和處理的。因此,我們常常需要將10進制數轉換為
    的頭像 發表于 01-11 09:14 ?2352次閱讀

    labview二進制字符串轉數值

    LabVIEW是一種圖形化編程環境,用于實時數據采集、信號處理以及自動化控制等領域。它采取了數據流編程的思想,用戶可以通過將各種功能模塊進行連接,輕松搭建起復雜的系統。 在LabVIEW中,二進制
    的頭像 發表于 01-05 16:20 ?2657次閱讀
    主站蜘蛛池模板: 国产精品你懂的在线播放| 国产亚洲精品欧洲在线视频| 国产精品乱码色情一区二区视频 | 精品国产福利在线视频| 毛片网站视频| 午夜国产羞羞视频免费网站| 中文字幕乱码在线人视频| 俄罗斯xxxxxbbbbb| 久久国产高清视频| 少妇内射兰兰久久| 2012中文字幕在线动漫电影| 国产毛A片久久久久久无码| 美女被爆插| 亚洲国产日韩欧美高清片a| h片下载地址| 久久久精品3d动漫一区二区三区| 日韩精品欧美在线视频在线| 在线 | 果冻国产传媒61国产免费| 高清mv视频免费观看| 美女内射少妇三区五区| 亚洲 色 欧美 爱 视频 日韩| av影音先锋天堂网| 接吻吃胸摸下面啪啪教程| 日韩亚洲国产中文字幕欧美| 自拍 偷拍 亚洲 经典| 国产亚洲精品久久久久久线投注 | 91精品欧美一区二区三区| 国产免费麻传媒精品国产AV| 欧美精品99久久久啪啪| 一个人的免费完整在线观看HD| 岛国片在线看| 欧美日韩一区在线观看| 一级毛片免费播放| 国产欧美日韩中文视频在线| 人人做人人干| 97色伦97色伦国产| 久久精品综合网中文字幕| 校花的奶好大好浪| 国产99RE在线观看69热| 欧美性appstin孕妇| 2019精品国产品在线不卡|