你一定还记得Heartbleed：早在2014年，OpenSSL加密库中的这个漏洞使许多启用TLS的网站处于危险之中。它让我们大开眼界，向我们展示了我们在多大程度上依赖于开源软件组件的安全性。或者还记得2017年Equifax数据泄露事件吗：由于Apache Struts的易受攻击版本，1.48亿美国公民的个人数据遭到泄露。

为了弥补工具支持的不足，SAP Security Research于2014年开始开发一种新方法，用于检测Java应用程序是否依赖易受攻击的开放源代码，使用静态和动态程序分析技术，淘客程序，无论这些易受攻击的代码在给定的应用程序上下文中是实际的还是潜在的可访问性。

所谓的易受攻击性评估工具的代码中心性代表了与同时开发的其他工具相比的显著优势。其中许多在很大程度上依赖于人类提供的与软件包和漏洞相关的元数据，成都大数据，这导致了不精确的分析，包括误报和漏报。

因此，经过比较研究，SAP将漏洞评估工具作为官方推荐的所有Java和Python应用程序的开源扫描工具。到目前为止，已经在超过1百万年的时间里分析了800多个应用程序。扫描。

2018年底，SAP决定开放漏洞评估工具的源代码，以便其他开放源代码用户——无论是个人软件开发人员还是商业开发组织——能够更安全地使用开放源代码。其运行所需的源代码和Dockerfiles已在GitHub上发布，使用Apache License v2，我们的目标是建立一个活跃的个人和组织社区，使用该工具并为其做出贡献。

查看以下链接了解更多信息：

工具主页和源代码技术方法：Serena Ponta，Henrik Plate，Antonino Sabetta，点云，《超越元数据：以代码为中心和基于使用的开放源码软件已知漏洞分析》，第34届国际软件维护和演化会议（ICSME），企业软件正版化，2018

，一站式建站