如何高效實施靜態(tài)代碼檢測工具SAST?

自2017年以來，全球網(wǎng)絡(luò)攻擊致使泄漏數(shù)據(jù)的數(shù)量平均每年增長高達224%，2020年網(wǎng)絡(luò)釣魚攻擊翻一番。數(shù)據(jù)安全風(fēng)險逐年上漲，但安全人員數(shù)量卻遠遠少于開發(fā)人員。某行業(yè)技術(shù)人員稱，每千行代碼就可能引入4-6個安全缺陷，對于一個組織來說，即使是在其應(yīng)用程序的一小部分上，尋找資源來執(zhí)行代碼審查都具有極大的挑戰(zhàn)性。因此，將靜態(tài)代碼安全檢測手段集成到SDLC中可以顯著提高代碼整體質(zhì)量。

靜態(tài)代碼安全性測試

SAST(靜態(tài)代碼安全檢測)主要對應(yīng)用程序的源代碼進行分析來查找其中存在的漏洞。靜態(tài)代碼安全檢測(SAST)是在編譯代碼之前掃描代碼，因此它是一種白盒測試。SAST的使用已經(jīng)被實踐10多年，這項技術(shù)手段可以幫助開發(fā)人員在軟件開發(fā)生命周期(SDLC)早期階段發(fā)現(xiàn)代碼安全漏洞，此外SAST無需實際運行或編譯代碼即可確保符合安全編碼標準。

更重要的是，SAST(靜態(tài)代碼安全檢測)可以自動化并透明地集成到項目的工作流程中。這減少了通常與安全性測試應(yīng)用程序相關(guān)的一些麻煩，與DAST(動態(tài)應(yīng)用程序測試)形成鮮明對比。在DAST中，對于大型項目，需要創(chuàng)建特殊的基礎(chǔ)設(shè)施、執(zhí)行特殊的測試以及應(yīng)用程序的多個實例與不同的輸入數(shù)據(jù)并行運行，而IAST覆蓋路徑少檢測范圍較窄，無法對整體代碼實施安全檢測。

在SDLC中SAST是如何起作用的

因為SAST是被集成到軟件開發(fā)生命周期(SDLC)的早期階段，并能夠分析100%的代碼庫，它們比人工執(zhí)行的安全代碼審查要快得多，可以在幾分鐘內(nèi)掃描數(shù)萬行代碼。通過靜態(tài)代碼檢測有助于開發(fā)人員及時找到易受攻擊的代碼，同時在不破壞任何構(gòu)建的情況下，進行任何相應(yīng)的修改以修復(fù)缺陷代碼。

高效實施SAST的關(guān)鍵步驟

為了有效和高效地實施SAST，應(yīng)執(zhí)行以下步驟：

選擇合適的SAST工具：該工具支持所使用的編程語言并可以對應(yīng)用程序執(zhí)行代碼審查;

創(chuàng)建基礎(chǔ)設(shè)施并部署工具：選擇工具后，下一步驟包括處理許可要求、設(shè)置身份驗證和授權(quán)，以及設(shè)置部署工具所需的基礎(chǔ)設(shè)施;

定制工具：此步驟涉及根據(jù)組織的需要定制工具。例如:配置工具以找出誤檢，將工具集成到構(gòu)建或CI/CD環(huán)境中，創(chuàng)建用于跟蹤掃描結(jié)果的指示板并生成自定義報告;

優(yōu)先級和加載應(yīng)用程序：掃描所有應(yīng)用程序，如果有一個很長的應(yīng)用程序列表，應(yīng)該首先掃描高風(fēng)險的應(yīng)用程序。應(yīng)用程序掃描應(yīng)該每天或每月與發(fā)布周期同步。

分析掃描結(jié)果：對結(jié)果進行分類以消除假陽性，將已確定的問題集發(fā)送給開發(fā)人員并修補缺陷。

SAST工具重要的選擇標準

1. 是否支持所使用的編程語言及操作系統(tǒng)

2. 可以檢測到的漏洞類型(在OWASP 前十名中(還有更多?))

3. 有多準確?誤報/誤報率在多少?

4. 滿足您使用的庫/框架嗎?

5. 是否支持跨類、跨函數(shù)的缺陷/漏洞檢測?

6. 是否具備深度檢測能力?

7. 可以集成到開發(fā)者的IDE中嗎?

8. 設(shè)置/使用有多難?

9. 可以連續(xù)自動運行嗎?

10. 能否根據(jù)實際情況進行定制化功能?(每個企業(yè)所需要的檢測重點不同)

常見好用的SAST工具

以下是常用的SAST軟件，認真做好檢測可以確保Web應(yīng)用程序免受網(wǎng)絡(luò)攻擊：

Checkmarx(以色列)

Wukong源代碼檢測(國產(chǎn)信創(chuàng))

Coverity(美國)

Fortify(美國)

SAST工具的優(yōu)點：

1.擴展性好，支持多語言多操作環(huán)境，可以在很多軟件上運行

2.對于發(fā)現(xiàn)緩沖區(qū)溢出、跨站點腳本(XSS)、SQL注入、硬編碼機密等具有重大影響的漏洞非常有用

3.通過突出顯示源文件、行號等，為開發(fā)人員生成詳細的輸出報告，便于修改代碼

4.在研發(fā)階段早期發(fā)現(xiàn)并修復(fù)缺陷和安全漏洞，節(jié)省大量精力和財力

代碼安全漏洞可能導(dǎo)致應(yīng)用程序及其數(shù)據(jù)遭到破壞，甚至遭到網(wǎng)絡(luò)犯罪分子勒索。美國國土資源局曾表示，90%的漏洞都是錯誤代碼造成的。網(wǎng)絡(luò)安全的本質(zhì)就是軟件安全、代碼安全，大多數(shù)情況下這些漏洞都是人為原因造成的，因此在部署上線之前，將安全滲透在研發(fā)的各個階段可以減少系統(tǒng)漏洞數(shù)量，降低網(wǎng)絡(luò)安全風(fēng)險。

在代碼編寫過程中，如果將問題發(fā)現(xiàn)和修復(fù)代碼移至編碼階段可以為企業(yè)節(jié)省20%成本，而在產(chǎn)品發(fā)布后，修改缺陷成本則將增加五倍。這也是很多企業(yè)正在意識到的一點，因此更加愿意選擇利用靜態(tài)代碼安全檢測工具從源頭減少bug的出現(xiàn)，減少修改錯誤的時間與成本。

參讀鏈接：https://www.woocoom.com/b021.html?id=d8164398986042a79ba702258b3fbb24