牛品推荐第十八期
鸿渐科技:SAST-静态代码扫描工具
软件安全的源头是代码安全,NIST(美国国家标准与技术研究院)研究指出,92%的漏洞是应用自身弱点,非网络原因。基于此,各行各业都逐渐的把代码安全提上日程,依据静态代码扫描工具,建设基于代码安全的开发流程,形成大家熟知的SDLC或DevSecOps。工信部最近的《网络安全产业高质量发展三年行动计划(2021-2023年)》也从整个安全行业发展考虑,指出需加快发展源代码分析工具,提升网络安全产品安全开发水平。本期发布牛品推荐第十八期——鸿渐科技:SAST-静态代码扫描工具。
#牛品推荐第十八期 #
01
代码安全、安全漏洞检测、质量缺陷检测、度量分析、代码安全态势感知
02
用户痛点
1) 检测代码必须编译通过,检测过程困难、繁琐
常用工具除了繁琐的项目创建步骤,还要求代码编译通过才能正常扫描,或提供中间码,但实际测试过程中,很大一部分代码在测试环境中无法正常分析、需多次调试,中间码的提供过程也较繁琐,严重浪费人力物力,甚至有些嵌入式软件无法搭建编译环境,测试困难。此外,一个项目包含多种开发语言时(例如:C/C++、Java),必须区分语言,分开扫描。
2) 通用规则误报率偏高并且不能定制特性规则
常用工具的检测规则首选项都默认适配通用情况,相对于千变万化的代码来说误报率偏高,对测试人员的人工核验能力要求就比较高,人工介入的时间成本大,并且一些特性规则和逻辑规则无法定制化,不能按需提升准确度和检测特定逻辑漏洞。
3) 不能支持国产规则和国产环境
国产环境在政府、军工、民用等企业逐渐普及,国产环境适配需求逐步凸显,然而目前绝大多数代码安全产品还没有适配国产环境,或短时间内无法适配,同时产品对国产规则的支持粒度尚浅。
4) 产品出现问题时不能及时响应
现有国外的代码安全厂商在国内只有代理商,无原厂技术支持人员,某些技术难题无法及时响应并解决,延误测试工作开展。
03
解决方案
鸿渐科技在静态代码分析领域进行了多年的研究工作,积累了丰富的理论和实践经验,可以提供灵活、准确的代码安全测试方案:鸿渐-SAST静态代码分析工具/平台。
首先鸿渐-SAST工具像其他所有工具一样,提供人工测试(审计)和自动化测试两种场景,人工审计流程如下:
其次,鸿渐-SAST工具可助力DevSecOps建设实现自动化审计和安全管控,工具在通用DevOps流程中可集成的阶段如下:
借由上方的集成工作,可实现的自动化审计流程如下,除了开发人员编写代码阶段,其他阶段均可自动化:
此外,针对企业的业务系统应用痛点,鸿渐-SAST提出以下解决方案:
1) 实现编译不通过检测、跨语言检测:最大限度简化测试过程
鸿渐-SAST首创智能代码补全技术,从根本上解决问题,无需关注代码解析情况、无需提供中间码,直接扫描源代码并出具结果。此外,跨语言检测使我们无需按开发语言进行人工区分并扫描,无论项目中有多少语言,均可以一次性检测。
2) 产品出厂自带国产属性,零成本适配
鸿渐科技-SAST完全自研,具有麒麟厂商的桌面、高级服务器环境的适配认证,并能快速适配其他环境,提供国产环境部署的一整套方案。另外,鸿渐科技在研发产品之初便研究落地了国内主流标准,以此支持国内代码安全生态。
3) 保证自身准确度,并定制特性规则
首先,鸿渐科技通过创新技术保证自身检测准确度。代表性的几大关键技术如下:
a. 基于多种分析技术融合的运行时缺陷检测技术
b. 基于代码补全的片段代码分析技术
c. 基于持久化的大规模代码分析技术
d. 基于深度学习的缺陷模式自动挖掘技术
另外,还能够根据用户收集的特性规则,开放底层分析技术的SDK API,以此定制或用户自研全新的检测器,检测特定逻辑问题。
鸿渐科技原创团队根据用户单位收集的共性代码,提取出304条全新检测规则,借助开放的17个分析技术SDK API,研发完成、落地至检测过程。最终达成:提升特定问题的检测准确度、可检测特定逻辑问题甚至0day漏洞的预期。
4) 专业、丰富的原厂技术支持和服务
得益于国内原创团队的优势,鸿渐科技对所有用户都承诺7*24小时原厂工程师技术支持,定制需求5*8小时响应,响应内容包括产品运维问题、安全咨询及建议、定制化开发等。
04
用户反馈
“我们之前一直使用fortify和checkmarx作为代码扫描工具,也不停在调研其他工具,接触到鸿渐-SAST的时候,还是很惊喜国内能有这样水平的产品,功能不输国外优秀产品,还能帮我们定制规则。”
——来自某央企的监管、测试单位
“我们使用鸿渐-SAST工具提供的底层SDK接口做二次开发,发现了一些0day漏洞,比较符合我们做漏洞挖掘的需求”
——来自军工某战略基地
“我们使用代码扫描工具很多年了,初了解鸿渐-SAST时也已经接触过其他几款产品,经过各个产品的POC测试验证,鸿渐-SAST最终获得各部门认可,并且也很适合我们构建DevSecOps。”
——来自某上市物联网企业的
安全&质量团队负责人
“鸿渐-SAST工具使用过程比较方便,我们测试人员不需要关注代码的编译情况,也不需要下载其他工具生成中间码,让我们有更多的精力去专注漏洞。并且我们研发团队情况较复杂,初步建设DevSecOps的时候,鸿渐科技给出了许多有帮助的建议”
——来自某电力工业的头部企业
安全牛评
软件安全是网络安全的基础,从源码的视角做好代码原生安全、漏洞管理可以从源头上减少网络的攻击风险,使安全事半功倍。关键软件自主可控势在必行,而目前开发者在源码安全上的时间和精力都远远小于功能实现,源码安全的落地还存在诸多的挑战。适配国产化平台、自动化的、灵活的、可操作的源码安全检查工具可以帮助开发者更好的落地源代码安全。
合作电话:18311333376
合作微信:aqniu001
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
