在其最新一次減少不必要安全警報干擾的策略中，Socket 收購了 Coana，這是一家由丹麥奧胡斯大學研究人員于 2022 年創立的初創公司，旨在告知用戶哪些漏洞可以安全地忽略。

Socket 供應鏈安全業務的首席執行官 Feross Aboukhadijeh 在接受 The Register 采訪時表示，“所有安全工具的問題(而這并非我們首創)在于警報太多了。噪音太大了?！?

工具越好，產生的噪音也就越多。

Aboukhadijeh 解釋說，“如果你發現的漏洞是其他工具找不到的，那你最終將收到更多警報。”

他進一步表示，Socket 的客戶——那些使用該公司依賴掃描工具來捕捉應用庫中漏洞的軟件開發者——已反映了這一問題。他們不希望一次徹底的依賴掃描會不必要地增加他們的工作量。

來自 'npm audit' 的安全警告泛濫使開發者分心

現代軟件應用通常包含大量依賴項。這些依賴項是被導入應用中的模塊、框架或庫，用以提供一系列功能或能力，從而使開發者無需為已解決的問題重復造輪子。

根據 GitHub 2020 年《Octoverse 狀態報告》 [PDF]，“JavaScript 的中位依賴量最高(10 個)，其次是 Ruby 與 PHP(9 個)，Java(8 個)，而 .NET 與 Python 最少(6 個)。”

然而，每個直接依賴可能還會帶有間接或傳遞性依賴——即由其他模塊導入的模塊?？梢韵胂?，一位晚宴嘉賓帶了一位朋友，而這位朋友又邀請了更多人，而每個人可能還會帶來伴侶，情況會迅速變得難以管理。

這也是為什么 JavaScript 應用中的傳遞性依賴中位數約為 683。

與此相比，在 PHP、Ruby 與 Python 等語言中，由于各自打包理念的差異，中位依賴總數分別較低，為 70、68 和 19。具體來說，依賴 npm 軟件包注冊中心的 JavaScript 生態系統鼓勵采用微打包——也就是使用大量小型庫的方式——而其他語言則不然。

關鍵在于，開發者創建應用時往往會導入大量第三方軟件，這些軟件需要嚴格檢查以發現潛在的安全缺陷。

這時，Coana 問世。Socket 構建工具以尋找漏洞，而 Coana 則致力于構建工具識別哪些漏洞可以被忽略。

Coana 開發了一種可達性分析方法，以確定攻擊者是否真的能夠觸及并利用某個軟件漏洞。

Aboukhadijeh 將可達性分析比作檢查一所房子中的門的數量。如果前門未鎖，則存在直接的安全風險;但如果地下室中有扇未鎖的門，且其前還有幾扇鎖著的門，則可能還有其他更需要關注的問題。

Aboukhadijeh 表示，其他公司也已實現可達性分析系統，但他認為其工具運行緩慢。

他解釋道：“你可能會遇到一個掃描過程需要運行 10 小時，或者在大型代碼庫上根本無法完成掃描的情況，所以實際上很難部署這種工具。”

他說，Coana 的實現能夠在合理的時間內完成掃描，而且誤報與漏報都極少。

Coana 的聯合創始人兼首席產品官 Martin Torp 表示，他們的方法依賴于靜態分析，而非運行時分析，主要原因在于部署起來更簡單。

他說：“但靜態分析的難點在于分析精確度與可擴展性之間的權衡。而在能夠擴展到大型企業應用同時仍然保持高度準確的結果之間找到最佳平衡點，確實相當困難?！?

Torp 解釋說，Coana 通過對人們實際編程方式做出一些假設，從而使其靜態分析(即在不運行代碼的前提下分析代碼)更為高效。

Torp 說：“我們知道代碼中存在一些理論上可以寫出但在實際中非常罕見的模式。通過找到這種反映人們實際編程方式的啟發式方法，我們構建出一種既適合大規模分析，又具有極低漏報率和誤報率的工具。”

他補充道，這一成果對于 JavaScript 和 Python 等動態編程語言尤其具有吸引力，因為這些語言的某些特性只有在程序運行時才能顯現出來，使得靜態分析顯得更加困難。

Torp 表示：“從用戶的角度看，他們擁有一個應用，該應用依賴于一些軟件庫或包，而這些包中幾乎總是存在漏洞。而可達性分析所做的，就是掃描整個應用——包括所有依賴代碼——并過濾或標記出在該特定應用環境中實際相關的漏洞。”

從本質上講，用戶將會收到通知，指出哪些漏洞實際上不可能被利用，從而大大減輕安全團隊的工作負擔。

Aboukhadijeh 指出，安全工作負載并沒有改善，反而愈發嚴峻，并提到 Socket 每周大約會發現 500 個惡意軟件包。

他說：“實際上 npm 團隊曾告知我，對于下載量較低的惡意軟件包，他們不會優先處理?！?