摘要：本文針對二進位制SCA檢測技術短板所面臨的一些特殊場景、檢測影響及應對措施進行詳細分析和說明，希望對使用二進位制SCA檢測工具的測試和研發人員有所幫助。

本文分享自華為雲社群《二進位制SCA檢測工具---技術短板及應對措施》，作者：安全技術猿。

世間萬物都不可能是十全十美的，二進位制SCA檢測技術也逃不過此宿命，它既有它的長處，能解決其他技術不能或很難解決的問題和場景，同時它自身技術短板也面臨著一些無法或很難解決的場景。

我們知道二進位制檔案在產品包中的型別與形態是非常複雜的，不同語言的二進位制檔案有各自不同的特點，同時不同開發人員進行軟體設計、開發、編譯、打包的方式和場景更是千差萬別，以產品引用開源軟體的方式為例就存在以下場景：patch打補丁版本號不變、產品引用開源軟體部分功能場景下的部分編譯、自研程式碼基於開源軟體原始碼的侵入式修改，以及不同開源軟體的被動依賴等等場景，在這些複雜的場景下二進位制SCA工具檢測能力和檢測結果正確性會受到極大的挑戰和影響

解決或緩解這些影響的思路無非就兩種：外部解決和內部解決。從外部解決的方法是儘可能的減少或避免出現二進位制SCA短板場景，從軟體的設計、開發編譯、打包部署等在不同階段進行優化和規範，摒棄不合理的做法，儘量避免出現二進位制SCA工具的短板場景；另外一個是測試工具及測試方法的優化，把二進位制SCA工具用來做它擅長的事，避免出現用大炮打蚊子的事情。從內部解決的方法則是優化工具的能力和演算法，儘可能來提升工具的適用場景，減少短板場景。

下面針對二進位制SCA工具的技術短板面臨的特殊場景的特點、檢測影響和應對措施進行詳細描述：

解包特殊場景：被測軟體包採用了自定義的打包演算法或加密過的壓縮包
解包影響：解包工具無法正確的進行解包，會導致檢測結果遺漏；
應對措施

不同語言特殊場景詳解：

可以試試下面的漏掃服務，看看系統是否存在安全風險：>>>漏洞掃描服務

點選關注，第一時間瞭解華為雲新鮮技術~