SAST面面观 | 代码安全的守护者：全面了解SAST及其作用

在过去的10余年中，SAST（静态应用程序安全测试）一直是保障应用程序安全性工作的核心手段。在当前“安全左移”理念的影响下，企业迫切希望能够在源头治理风险的需求，成为推动SAST快速发展的动力。SAST是指以静态分析技术对源代码或编译后的中间码进行扫描、检测、分析，以查找出代码中违反安全编码规则、语义缺陷、运行时缺陷、安全漏洞的技术。SAST产品已进入市场多年，之前我们也讲过了SAST的优缺点，今天就来了解一下SAST的发展历程、价值、工作原理及关键技术。

SAST的发展历程

SAST的发展历程可以大致划分为以下四个阶段：

• 数据流和模式匹配静态检测技术：SAST技术早期阶段，主要依赖于数据流分析和模式匹配来识别代码中的潜在安全漏洞。这种方法基于预设的模式或规则来检测代码中的不安全行为。
• 基于符号执行的静态检测技术：随着技术的发展，SAST开始采用更复杂的静态分析技术，如符号执行。符号执行是一种程序分析技术，其中程序的输入被视为符号值而不是具体的值。这种方法可以探索更多的程序路径，并更准确地识别出潜在的安全漏洞。
• 基于抽象解释的静态检测技术：抽象解释是一种强大的程序分析技术，它能够在保持程序某些属性的同时，对程序进行简化和近似。基于抽象解释的静态检测技术能够更准确地理解代码的行为，并发现更复杂的安全漏洞。
• 基于值依赖的静态检测技术：这是SAST技术的最新发展阶段，它通过分析代码中的值依赖关系来识别安全漏洞，能够更精确地跟踪数据的流动和转换，从而更准确地识别出潜在的安全问题。

随着技术的不断发展，SAST工具也在不断演进和改进，以应对不断变化的威胁和攻击方式。总的来说，SAST的发展历程是一个不断追求更准确、更高效的静态分析技术的过程。

SAST的作用

SAST作用主要体现在以下几个方面：

• 发现安全漏洞：SAST通过直接查看应用程序的源代码，可以在不运行代码的情况下发现各种安全漏洞。对于避免企业在应用程序上线后遭受攻击，造成数据泄露或经济损失至关重要。
• 早期预警：由于SAST工具通常在代码编译之前使用，因此可以在开发周期的早期阶段就提供安全问题的预警。开发团队可以在代码特性和功能最终确定之前，就使用SAST工具来识别和解决潜在的安全问题。
• 实时反馈：一些SAST工具能够在开发人员编写代码时提供实时反馈，帮助他们在代码传递到开发周期的下一阶段之前修复问题。这种实时的反馈机制可以大大提高开发效率，减少后期修复安全问题的成本。
• 自定义报告：一些SAST工具如开源网安代码审核平台CodeSec，允许开发人员自定义报告，使得开发团队能够更加方便地管理和追踪安全问题，从而更有效地进行安全管理。
• 高效分析：SAST扫描程序可以在相对较短的时间内分析大量的应用程序代码库。一些工具可以在几分钟内扫描多达数百万行代码，并与开发周期的其余部分无缝集成，而无需将这部分任务安排到开发日程中，或在源代码中花费大量时间查找安全漏洞。

SAST工作原理

顾名思义，SAST的工作原理主要基于静态代码分析技术，静态代码分析是一种在不执行程序的情况下检查源代码或字节码的方法，旨在发现潜在的安全漏洞和代码缺陷，通常在开发的编码和测试阶段实施，并集成到CI服务器，或者更近一些，集成到IDE中。

SAST工具可以根据预定义的代码规则对代码进行安全检查，包括常见的安全漏洞类型，如跨站脚本攻击（XSS）、SQL注入、代码注入等。这些规则基于常见的安全威胁模式和攻击技术，可以帮助企业检测出潜在的安全问题。

SAST工具还可以进行控制流分析和数据流分析，以更深入地理解代码的行为和逻辑。控制流分析通过构建控制流图（CFG），来理解代码的执行路径和逻辑流程。数据流分析跟踪程序中数据的流动和处理，可以检测潜在的数据泄露和注入攻击等问题。

SAST关键技术

源代码分析

• 词法分析：SAST工具首先对源代码进行词法分析，将源代码分解为一系列的符号和表达式。这个阶段主要是识别和分类代码中的元素，如变量、函数、类等。
• 语法分析：在词法分析的基础上，SAST工具进行语法分析，将源代码转化为抽象语法树（AST）。AST是源代码的树形表示，可以清晰地展示代码的结构和逻辑。
• 语义分析：在构建AST之后，SAST工具进行语义分析，理解代码的功能和行为。这包括类型检查、函数和方法的解析等。
• 代码规则匹配：在语义分析的基础上，SAST工具会应用预定义的代码规则，来识别潜在的安全漏洞。这些规则基于常见的安全威胁模式和攻击技术，例如SQL注入、跨站脚本攻击（XSS）等。

控制流分析

SAST工具通过控制流分析来理解代码的执行路径。控制流图（CFG）是描述程序控制流的有向图，其中节点表示基本块（如语句或条件语句），边表示控制流的方向。控制流分析可以帮助检测潜在的控制流异常，例如未处理的异常、未检查的返回值等。这些异常可能导致应用程序的稳定性下降或被恶意攻击者利用。

数据流分析

数据流分析关注程序中数据的流动和处理。它可以帮助检测潜在的数据泄露、注入攻击等安全问题。前向数据流分析从程序的输入出发，跟踪数据流路径，检查每个变量的值和来源。这有助于发现潜在的注入攻击，例如SQL注入或命令注入。后向数据流分析从程序的输出出发，跟踪数据流路径，检查每个变量的最终用途。这有助于发现潜在的数据泄露或敏感信息泄露问题。

DevOps平台集成

一些SAST工具如开源网安代码审核平台CodeSec，可以通过API接口等方式，无缝接入DevOps平台，以降低调度成本，提高自动化程度。CodeSec提供自动化源代码安全审核支撑能力，支持Jenkins等常见DevOps平台，也支持定制化对接。CodeSec还可以在DevOps流水线中被自动触发，扫描完成后自动同步扫描结果，控制DevOps流水线自动流转。

SAST工具可以全面地评估应用程序的安全性，发现常见的安全漏洞和潜在风险。输出的结果会包括漏洞的类型、位置以及修复建议，可以帮助开发人员快速定位和修复代码中的安全问题。然而需要注意的是，SAST 只能作为代码安全分析的一部分，还需要结合其他的安全测试方法，如动态应用安全测试（DAST）和交互式应用安全测试（IAST）等，以全面提高软件的安全性