网络安全-代码成分分析

    软件成分分析是对二进制软件的组成部分进行识别、分析和追踪的技术。专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系， 
     软件应用都基于第三方组件、开源代码、通用函数库开发实现，这里面包含了很多已知漏洞。软件成分分析的对象主要为第三方基础组件/可执行程序/源代码等类型的以二进制形式存储的文件，包括但不限于源代码片段或 Package，可执行的二进制组件/程序，基础 lib，tar/tgz 压缩文件，镜像/镜像层，广义的软件构建过程等等。 
      通过对软件汇编代码指令、代码结构、控制流图、函数调用关系等特征值对比，分析出二进制代码成分以及代码之间的相似性。然后通过成分分析、依赖分析、特征分析、引用识别等多种技术，识别软件中的第三方组件漏洞信息，并进一步确认漏洞的真实有效性。