摘要:許多公司都投資于或之類的靜態(tài)分析安全測(cè)試�,解決方案。用靜態(tài)分析方法確保編程安全一書詳細(xì)描述了靜態(tài)分析技術(shù)的基本原理����。博士將靜態(tài)分析無法找出的諸多安全問題歸為瑕疵,而非程序錯(cuò)誤���。
靜態(tài)分析安全測(cè)試(SAST)是指不運(yùn)行被測(cè)程序本身�,僅通過分析或者檢查源程序的語法��、結(jié)構(gòu)��、過程���、接口等來檢查程序的正確性����,那么采用靜分析安全測(cè)試的方法有什么優(yōu)缺點(diǎn)呢��,且讓小編給你說道說道�����。
許多公司都投資于 HP Fortify、IBM AppScan Source�、 Checkmarx 或 Coverity 之類的靜態(tài)分析安全測(cè)試(Static Analysis Security Testing,SAST)解決方案��。如果使用得當(dāng)�,SAST 解決方案的確能大放異彩:相比于動(dòng)態(tài)分析或運(yùn)行時(shí)測(cè)試方案�����,它們能在開發(fā)階段�����,而不是開發(fā)完成之后���,探測(cè)出源碼中的安全漏洞�����,從而大大降低修復(fù)安全問題的成本�����。它們還能找到許多動(dòng)態(tài)分析工具通常無法找到的漏洞���。而且�����,得益于其自動(dòng)化的特性�����,SAST 工具能在成百上千款應(yīng)用間實(shí)現(xiàn)伸縮���,而這是僅靠人為分析方法無法企及的。
在對(duì) SAST 解決方案投資之后���,一些公司便放棄了在應(yīng)用安全領(lǐng)域的進(jìn)一步投資�����。這類公司的股東往往認(rèn)為:靜態(tài)分析方法覆蓋了絕大多數(shù)軟件安全漏洞���,或是諸如 OWASP 前十的重要高風(fēng)險(xiǎn)漏洞,因此已經(jīng)足夠好了����。這些公司往往不會(huì)在軟件開發(fā)初期就考慮安全問題�����,而是止步于在應(yīng)用部署到生產(chǎn)環(huán)境之前�����,獲得一份來自掃描工具的“無瑕疵報(bào)告”。其實(shí)����,這種心態(tài)非常危險(xiǎn),因?yàn)樗鼰o視了 SAST 技術(shù)的基本限制�����。
《用靜態(tài)分析方法確保編程安全(Secure Programming with Static Analysis)》一書詳細(xì)描述了靜態(tài)分析技術(shù)的基本原理���。此書的作者 Brian Chess 與 Jacob West 是 Fortify Software 公司背后的技術(shù)骨干��,此公司后來被惠普收購���。在書中����,作者談到:“一半的安全問題都源自軟件的設(shè)計(jì)�����,而非源碼�����?��!敝?�,他們列舉了軟件安全問題的類別�����,比如與上下文特定的缺陷(這類問題往往在代碼中可見)等等��。他們還指出:“沒有人敢斷言�����,源碼檢查就能找出所有問題���?�!?/p>
靜態(tài)分析工具相當(dāng)復(fù)雜�����。為了正常發(fā)揮其功能��,它們需要從語義上理解程序的代碼�、依賴關(guān)系�����、配置文件以及可能不是用同一種語言寫的組件�。與此同時(shí)��,它們還必須保持一定的速度以及準(zhǔn)確性����,從而降低誤報(bào)的數(shù)量。此外�����,JavaScript、Python 之類的動(dòng)態(tài)類型語言��,在編譯時(shí)往往無法決定對(duì)象所屬的類或類型�,因此進(jìn)一步影響了靜態(tài)分析工具的效率。因此�,找到大多數(shù)軟件安全漏洞不是不切實(shí)際,就是不可能的�����。
NIST SAMATE 項(xiàng)目力求測(cè)量靜態(tài)分析工具的效率��,從而幫助公司改善該技術(shù)的使用情況����。它們對(duì)一些開源軟件包分別執(zhí)行了靜態(tài)分析以及人工代碼檢查,并對(duì)比兩者的結(jié)果���。分析顯示�����,在所發(fā)現(xiàn)的全部漏洞中�,1/8 到 1/3 的漏洞屬于簡單漏洞。進(jìn)一步的研究發(fā)現(xiàn)�,這些工具只能發(fā)現(xiàn)簡單的實(shí)現(xiàn)錯(cuò)誤,對(duì)于需要深入理解代碼結(jié)構(gòu)或設(shè)計(jì)的漏洞往往束手無策����。在流行的開源工具 Tomcat 上運(yùn)行時(shí),面對(duì)26個(gè)常見漏洞��,靜態(tài)分析工具只對(duì)其中4個(gè)(15.4%)發(fā)出了警告�����。
這些統(tǒng)計(jì)數(shù)據(jù)與 Gartner 論文《應(yīng)用安全:大膽想象�,從關(guān)鍵入手 ( Application Security: Think Big, Start with What Matters ) 》中的發(fā)現(xiàn)相互呼應(yīng)。在這篇論文中���,作者談到:“有趣的是��,通常認(rèn)為 SAST 只能覆蓋10%到20%的代碼問題����,DAST 覆蓋另外的10%到20%��?��!卑凑者@種觀點(diǎn)���,如果一個(gè)公司自主開發(fā)了一個(gè)類似 Tomcat 的工具,并以靜態(tài)分析為主要的應(yīng)用安全措施��,這意味著���,會(huì)有22個(gè)常見的安全漏洞原封不動(dòng)地遺留在他們部署的應(yīng)用中����。
Gary McGraw 博士將靜態(tài)分析無法找出的諸多安全問題歸為瑕疵����,而非程序錯(cuò)誤。這些瑕疵的性質(zhì)與應(yīng)用相關(guān)�,靜態(tài)分析可能無法找出的問題包括:
機(jī)密數(shù)據(jù)的存儲(chǔ)與傳輸,尤其是當(dāng)這些數(shù)據(jù)的程序設(shè)定與非機(jī)密數(shù)據(jù)無異時(shí)�����。
與身份認(rèn)證相關(guān)的問題�����,比如蠻力攻擊敏感系數(shù),密碼重置效力等�。
與非標(biāo)準(zhǔn)數(shù)據(jù)隨機(jī)選擇的熵相關(guān)的問題
與數(shù)據(jù)保密性相關(guān)的問題,比如數(shù)據(jù)保持以及其它合規(guī)性問題(比如:確保信用卡號(hào)在顯示時(shí)是部分掩蓋的)�����。
與普遍觀點(diǎn)相反�,許多靜態(tài)分析工具的覆蓋缺口隱含著巨大的組織風(fēng)險(xiǎn)。而且���,多數(shù)公司組織都無法接觸源代碼�,導(dǎo)致 SAST 工具可能無法理解某種特定的語言或框架����,再加上大規(guī)模部署這一技術(shù)以及處理錯(cuò)誤警報(bào)帶來的挑戰(zhàn),這一風(fēng)險(xiǎn)變得更為復(fù)雜了����。
盡管靜態(tài)分析是確保安全開發(fā)的重要技術(shù),但顯而易見�,它比不上從建立應(yīng)用之初就考慮安全問題的策略。公司組織只有將安全理念融入產(chǎn)品需求與設(shè)計(jì)中去�����,并以靜態(tài)分析等技術(shù)加以驗(yàn)證�,才最有可能創(chuàng)造出牢固安全的軟件。
原文鏈接:http://infosecisland.com/blogview/24620-Understanding-the-Strengths-and-Limitations-of-Static-Analysis-Security-Testing-SAST.html
如今����,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊�����。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)���,使其免受漏洞所累�����。想閱讀更多技術(shù)文章�����,請(qǐng)?jiān)L問 OneAPM 官方技術(shù)博客���。
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11171.html
