摘要:許多公司都投資于或之類的靜態(tài)分析安全測試�,解決方案�����。用靜態(tài)分析方法確保編程安全一書詳細(xì)描述了靜態(tài)分析技術(shù)的基本原理。博士將靜態(tài)分析無法找出的諸多安全問題歸為瑕疵�����,而非程序錯誤����。
靜態(tài)分析安全測試(SAST)是指不運(yùn)行被測程序本身���,僅通過分析或者檢查源程序的語法��、結(jié)構(gòu)�����、過程���、接口等來檢查程序的正確性,那么采用靜分析安全測試的方法有什么優(yōu)缺點(diǎn)呢��,且讓小編給你說道說道�����。
許多公司都投資于 HP Fortify、IBM AppScan Source�����、 Checkmarx 或 Coverity 之類的靜態(tài)分析安全測試(Static Analysis Security Testing��,SAST)解決方案�����。如果使用得當(dāng)���,SAST 解決方案的確能大放異彩:相比于動態(tài)分析或運(yùn)行時測試方案���,它們能在開發(fā)階段,而不是開發(fā)完成之后����,探測出源碼中的安全漏洞,從而大大降低修復(fù)安全問題的成本�����。它們還能找到許多動態(tài)分析工具通常無法找到的漏洞�。而且�,得益于其自動化的特性�,SAST 工具能在成百上千款應(yīng)用間實(shí)現(xiàn)伸縮,而這是僅靠人為分析方法無法企及的�。
在對 SAST 解決方案投資之后,一些公司便放棄了在應(yīng)用安全領(lǐng)域的進(jìn)一步投資�����。這類公司的股東往往認(rèn)為:靜態(tài)分析方法覆蓋了絕大多數(shù)軟件安全漏洞���,或是諸如 OWASP 前十的重要高風(fēng)險漏洞,因此已經(jīng)足夠好了����。這些公司往往不會在軟件開發(fā)初期就考慮安全問題,而是止步于在應(yīng)用部署到生產(chǎn)環(huán)境之前����,獲得一份來自掃描工具的“無瑕疵報告”。其實(shí)����,這種心態(tài)非常危險,因?yàn)樗鼰o視了 SAST 技術(shù)的基本限制��。
《用靜態(tài)分析方法確保編程安全(Secure Programming with Static Analysis)》一書詳細(xì)描述了靜態(tài)分析技術(shù)的基本原理。此書的作者 Brian Chess 與 Jacob West 是 Fortify Software 公司背后的技術(shù)骨干��,此公司后來被惠普收購����。在書中,作者談到:“一半的安全問題都源自軟件的設(shè)計�,而非源碼?���!敝螅麄兞信e了軟件安全問題的類別�����,比如與上下文特定的缺陷(這類問題往往在代碼中可見)等等�����。他們還指出:“沒有人敢斷言��,源碼檢查就能找出所有問題��?���!?/p>
靜態(tài)分析工具相當(dāng)復(fù)雜���。為了正常發(fā)揮其功能,它們需要從語義上理解程序的代碼���、依賴關(guān)系���、配置文件以及可能不是用同一種語言寫的組件。與此同時�����,它們還必須保持一定的速度以及準(zhǔn)確性��,從而降低誤報的數(shù)量����。此外����,JavaScript、Python 之類的動態(tài)類型語言����,在編譯時往往無法決定對象所屬的類或類型�,因此進(jìn)一步影響了靜態(tài)分析工具的效率����。因此,找到大多數(shù)軟件安全漏洞不是不切實(shí)際��,就是不可能的�����。
NIST SAMATE 項目力求測量靜態(tài)分析工具的效率����,從而幫助公司改善該技術(shù)的使用情況。它們對一些開源軟件包分別執(zhí)行了靜態(tài)分析以及人工代碼檢查����,并對比兩者的結(jié)果。分析顯示�,在所發(fā)現(xiàn)的全部漏洞中,1/8 到 1/3 的漏洞屬于簡單漏洞����。進(jìn)一步的研究發(fā)現(xiàn)�,這些工具只能發(fā)現(xiàn)簡單的實(shí)現(xiàn)錯誤���,對于需要深入理解代碼結(jié)構(gòu)或設(shè)計的漏洞往往束手無策�����。在流行的開源工具 Tomcat 上運(yùn)行時����,面對26個常見漏洞��,靜態(tài)分析工具只對其中4個(15.4%)發(fā)出了警告�����。
這些統(tǒng)計數(shù)據(jù)與 Gartner 論文《應(yīng)用安全:大膽想象��,從關(guān)鍵入手 ( Application Security: Think Big, Start with What Matters ) 》中的發(fā)現(xiàn)相互呼應(yīng)��。在這篇論文中�,作者談到:“有趣的是����,通常認(rèn)為 SAST 只能覆蓋10%到20%的代碼問題��,DAST 覆蓋另外的10%到20%����?����!卑凑者@種觀點(diǎn)���,如果一個公司自主開發(fā)了一個類似 Tomcat 的工具�,并以靜態(tài)分析為主要的應(yīng)用安全措施��,這意味著�,會有22個常見的安全漏洞原封不動地遺留在他們部署的應(yīng)用中。
Gary McGraw 博士將靜態(tài)分析無法找出的諸多安全問題歸為瑕疵���,而非程序錯誤����。這些瑕疵的性質(zhì)與應(yīng)用相關(guān)��,靜態(tài)分析可能無法找出的問題包括:
機(jī)密數(shù)據(jù)的存儲與傳輸,尤其是當(dāng)這些數(shù)據(jù)的程序設(shè)定與非機(jī)密數(shù)據(jù)無異時����。
與身份認(rèn)證相關(guān)的問題,比如蠻力攻擊敏感系數(shù)�����,密碼重置效力等���。
與非標(biāo)準(zhǔn)數(shù)據(jù)隨機(jī)選擇的熵相關(guān)的問題
與數(shù)據(jù)保密性相關(guān)的問題���,比如數(shù)據(jù)保持以及其它合規(guī)性問題(比如:確保信用卡號在顯示時是部分掩蓋的)。
與普遍觀點(diǎn)相反�,許多靜態(tài)分析工具的覆蓋缺口隱含著巨大的組織風(fēng)險。而且�,多數(shù)公司組織都無法接觸源代碼,導(dǎo)致 SAST 工具可能無法理解某種特定的語言或框架��,再加上大規(guī)模部署這一技術(shù)以及處理錯誤警報帶來的挑戰(zhàn)����,這一風(fēng)險變得更為復(fù)雜了��。
盡管靜態(tài)分析是確保安全開發(fā)的重要技術(shù),但顯而易見��,它比不上從建立應(yīng)用之初就考慮安全問題的策略���。公司組織只有將安全理念融入產(chǎn)品需求與設(shè)計中去�����,并以靜態(tài)分析等技術(shù)加以驗(yàn)證�,才最有可能創(chuàng)造出牢固安全的軟件�。
原文鏈接:http://infosecisland.com/blogview/24620-Understanding-the-Strengths-and-Limitations-of-Static-Analysis-Security-Testing-SAST.html
如今,多樣化的攻擊手段層出不窮����,傳統(tǒng)安全解決方案越來越難以應(yīng)對網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時保護(hù)���,使其免受漏洞所累�。想閱讀更多技術(shù)文章��,請訪問 OneAPM 官方技術(shù)博客���。
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/11171.html
