代理源代碼漏洞系統(tǒng)的行業(yè)須知「多面魔方」

發(fā)布時(shí)間：2021-09-30 08:01

【廣告】

什么是代碼審計(jì)？

代碼審計(jì)顧名思義就是檢查源代碼中的安全缺陷，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，通過自動(dòng)化工具或者人工審查的方式，對程序源代碼逐條進(jìn)行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

代碼審計(jì)（Code audit）是一種以發(fā)現(xiàn)程序錯(cuò)誤，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。軟件代碼審計(jì)是對編程項(xiàng)目中源代碼的分析，旨在發(fā)現(xiàn)錯(cuò)誤，安全漏洞或違反編程約定。它是防御性編程范例的一個(gè)組成部分，它試圖在軟件發(fā)布之前減少錯(cuò)誤。 C和C 源代碼是常見的審計(jì)代碼，因?yàn)樵S多語言（如Python）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數(shù)）。

什么是代碼審計(jì)？常見的自動(dòng)化代碼審計(jì)工具有哪些？

自從人類發(fā)明了工具開始，人類就在不斷為探索如何更方便快捷的做任何事情，在科技發(fā)展的過程中，人類不斷地試錯(cuò)，不斷地思考，于是才有了現(xiàn)代偉大的科技時(shí)代。在安全領(lǐng)域里，每個(gè)安全研究人員在研究的過程中，也同樣的不斷地探索著如何能夠自動(dòng)化的解決各個(gè)領(lǐng)域的安全問題。其中自動(dòng)化代碼審計(jì)就是安全自動(dòng)化繞不過去的坎。

這一次我們就一起聊聊自動(dòng)化代碼審計(jì)的發(fā)展史，也順便聊聊如何完成一個(gè)自動(dòng)化靜態(tài)代碼審計(jì)的關(guān)鍵。自動(dòng)化代碼審計(jì)在聊自動(dòng)化代碼審計(jì)工具之前，首先我們必須要清楚兩個(gè)概念，漏報(bào)率和誤報(bào)率。

- 漏報(bào)率是指沒有發(fā)現(xiàn)的漏洞/Bug

- 誤報(bào)率是指發(fā)現(xiàn)了錯(cuò)誤的漏洞/Bug

在評價(jià)下面的所有自動(dòng)化代碼審計(jì)工具/思路/概念時(shí)，所有的評價(jià)標(biāo)準(zhǔn)都離不開這兩個(gè)詞，如何消除這兩點(diǎn)或是其中之一也正是自動(dòng)化代碼審計(jì)發(fā)展的關(guān)鍵點(diǎn)。

我們可以簡單的把自動(dòng)化代碼審計(jì)（這里我們討論的是白盒）分為兩類，一類是動(dòng)態(tài)代碼審計(jì)工具，另一類是靜態(tài)代碼審計(jì)工具。

軟件開發(fā)所面臨的安全問題

1、代碼與架構(gòu)復(fù)雜

幾十萬、幾百萬行代碼、一個(gè)業(yè)務(wù)分幾十個(gè)模塊幾十個(gè)代碼倉庫家常便飯；開發(fā)語言多種多樣，各種自研框架、流行框架應(yīng)接不暇、架構(gòu)還非常復(fù)雜。

以上兩個(gè)問題對審計(jì)人員、SAST工具來說無疑都是很大的挑戰(zhàn)。

2、工具準(zhǔn)召率

沒有工具是所謂銀彈，規(guī)則、插件準(zhǔn)召率很低，需要根據(jù)開發(fā)語言、編碼風(fēng)格自定義；工具對邏輯漏洞的無力，與業(yè)務(wù)邏輯漏洞大量曝光的漏洞態(tài)勢之間的矛盾，工具、系統(tǒng)的運(yùn)營也需要專門人力投入，從而不斷提高工具的準(zhǔn)召率。

3、心態(tài)

審計(jì)人員出于KPI的考慮，想著既然花了很長時(shí)間做了代碼審計(jì)，為了體現(xiàn)工作量就必須說點(diǎn)什么，如果系統(tǒng)本來沒有問題卻在那挑刺，會(huì)更加不信任你。對于甲方代碼審計(jì)人員，審計(jì)任務(wù)多、代碼龐大是常態(tài)，如果不考慮后果的只提高速度，這種方式會(huì)遺漏掉細(xì)節(jié)，導(dǎo)致不能的審查。