静态代码扫描的原理

最新推荐文章于 2024-05-07 14:06:52 发布
最新推荐文章于 2024-05-07 14:06:52 发布
阅读量3.6k 收藏 7
点赞数
文章标签: java 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SourceBrella/article/details/103985177
版权

静态代码扫描存在的价值

  1. 研发过程,发现BUG越晚,修复的成本越大
  2. 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段
  3. 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的

以上三点证明了,静态代码扫描在整个安全开发的流程中起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅度的降低开发以及修复的成本,能够帮助开发人减轻开发和修复的负担,许多公司在推行静态代码扫描工具的时候会遇到大幅度的阻力,这方面阻力主要来自于开发人员,由于工具能力的有限性,会产生大量的误报,这就导致了开发人员很可能在做BUG确认的工作时花费了大量的无用时间。因此选择一款合适的静态代码分析工具变得尤为重要,合适的工具能够真正达到降低开发成本的效果。

静态代码分析理论基础和主要技术

静态代码分析原理分为两种:分析源代码编译后的中间文件(如Java的字节码);分析源文件。主要分析技术如下:

  • 缺陷模式匹配
    事先从代码分析经验中收集足够多的共性缺陷模式,将待分析代码与已有的共性缺陷模式进行匹配,从而完成软件安全分析。优点:简单方便;缺点:需要内置足够多的缺陷模式,容易产生误报。

  • 类型推断/类型推断
    类型推断技术是指通过对代码中运算对象类型进行推理,从而保证代码中每条语句都针对正确的类型执行。

  • 模型检查

最低0.47元/天 解锁文章
SourceBrella
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
静态代码和动态代码的区别_静态代码扫描方法及工具介绍
weixin_39725594的博客
12-08 4875
来自:信安之路(微信号:xazlsec)本文作者:国勇(信安之路特约作者)静态扫描就是不运行程序,通过扫描代码的方式检查漏洞,常见的方法也有多种,如把源代码生成 AST(抽象语法树)后对 AST 进行分析,找出用户可控变量的使用过程是否流入到了危险函数,从而定位出漏洞;或者通过正则规则来匹配源代码,根据平常容易产生漏洞的代码定制出规则,把这些规则代入到代码中进行验证来定位漏洞。当然静态...
代码质量优化之静态代码扫描
linchuanzhi_886的专栏
04-20 851
质量是保证产品和服务满足顾客需求的关键,真正的好产品,是能以用户为中心,和用户做朋友的。作为开发人员,除了保证产品基础功能正常外,还要保证高标准的代码质量。代码质量可以从代码的严谨性、可读性、可维护性、健壮性、性能和效率、代码覆盖度、易测性、可移植性几个方面的评价。严谨性:指的是逻辑严谨,代码逻辑要符合运行预期。在这一环节,要避免内存泄漏、句柄泄漏、使用恰到的同步\异步机制等。好的代码质量,在某段代码指令执行后,会产生什么样的动作、内存功耗占用多少都是要符合预期的。
关于Checkmarx、CodeQL和Semgrep的测试结果比较
最新发布
jimmyleeee的专栏
05-07 903
对于SAST工具而言,对框架的支持非常重要,它可以有效地发现基于某些框架的漏洞,而且现在系统的开发为了提高开发效率,基本上没有从0开始的,都是基于框架的,因此,对于框架的支持程度对于扫描结果的影响很大。Semgrep是在本地扫描,然后将扫描的结果发送到Semgrep的云上,通过Web Portal再显示扫描结果,虽然在数据流里显示了具体的文件与行号,但是,由于不能和源代码联动,在做甄别问题时,就显得比较费劲,如果上传代码到云上,又有泄露的安全风险。本文列列举了工具的各个方面的比较,比较的方面和结果如下。
静态代码扫描原理和常见工具
LJLLJL20020628的博客
06-13 854
静态代码扫描价值 (1)研发过程,发现BUG越晚,修复的成本越大; (2)缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段; (3)统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 目标:希望在编码阶段发现更多问题。(静态代码扫描、code review) 静态代码分析理论基础和主要技术 ...
静态代码扫描
陈高爽的博客
04-28 7831
静态代码分析(Static program analysis):在不运行程序的条件下,进行程序分析。 编译流程差不多分为这5个阶段: 词法分析生成token流语法分析生成抽象语法树针对抽象语法树进行语义分析,构建内部数据结构,如控制流图、生成中间代码代码优化目标代码生成 静态代码扫描通常分为两种: 模式匹配:匹配代码编译过程中的token流、抽象语法树(
本地代码规约扫描
zhuoya_的博客
04-26 489
写每一行代码的时候都要告诉自己:码出高效,码出质量。 这篇文章手把手教你代码怎么做到无错误,无漏洞,无异味。 一、背景 我的编译器:IntelliJ IDEA 我的开发语言:Java 本文以我写的spring-boot框架的demo为例 二、安装本地规约扫描工具 1 - Aibaba规约扫描插件 (1)插件安装:(因为我已将安装过了,所以截图显示的是update;第一次安装的,只需...
第一章 静态分析基础技术
CMC_HHM的博客
07-31 1097
目录 1.1反病毒引擎扫描:实用的第一步 1.2 哈希值:恶意代码的指纹 1.3查找字符串 1.4加壳与混淆恶意代码 1.4.1文件加壳 1.4.2使用PEiD检测加壳 1.5PE文件格式 1.6链接库与函数 1.6.1静态链接、运行时链接与动态链接 1.6.2使用DependencyWalker工具探索动态链接函数 1.6.3 导入函数 1.6...
iOS APP crash隐患静态代码扫描工具—godeyes
08-19
静态代码扫描工具的工作原理与动态测试不同,它不需要执行代码就能分析源代码中的潜在问题。godeyes通过解析Objective-C或Swift的源代码,运用一套预定义的规则和模式来检查代码,找出可能导致程序异常、内存泄漏、...
cppCheck C/C++静态代码检查
07-15
cppCheck是一款强大的开源静态代码分析工具,专门用于C和C++编程语言。它能够在编译器实际编译代码之前发现潜在的错误和不良编程习惯,从而提高代码质量和可维护性。cppCheck的工作原理是通过解析源代码并进行一系列...
编译原理资料
05-11
编译原理不仅用于传统的编译器,还广泛应用于解释器、JIT(Just-In-Time)编译器、静态分析工具、动态语言实现、编译器优化技术、以及编译器构造工具链如ANTLR和LLVM等。 10. **学习资源**: PPT是常见的教学材料...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
基于静态分析的Java源代码SQL注入检测算法
10-17
研究了常见的SQL注入检测和源代码静态分析扫描原理,提出Java源代码SQL注入检测算法,该算法通过对Java源代码词法分析和语法分析、建立抽象语法树、定义规则、遍历语法树和跟踪等,检测Java源代码中可能的SQL注入...
编译原理实验代码
12-06
最后,值得注意的是,编译原理不仅仅局限于编译器的构建,它在解释器、脚本引擎、静态代码分析、自动格式化工具等领域都有广泛的应用。通过深入理解和实践这些基础概念,你将能够更好地理解和优化这些系统,甚至创造...
静态代码分析学习
读书未遍、未敢妄下雌黄
03-28 6485
背景 软件开发过程中,工程师需要花费大量的时间和精力修改代码缺陷。从下图可以看出,在软件开发过程中,测试成本随着设计构建、QA、系统集成阶段的发展在不断增加。因此工程师应该努力在设计开发阶段优化代码、定位修复代码缺陷,这样可以节省大量时间和人力成本。 1 代码静态分析知识 【代码[静态分析](Program Static Analysis)是指在不运行代码的方式下,通过词法分析...
Java代码规约扫描插件 与 Java代码规范
a5678110的博客
02-27 261
https://github.com/alibaba/p3c 转载于:https://www.cnblogs.com/fonxian/p/8480464.html
Java上线静态代码扫描规范
Leeue李月
06-03 721
一、背景 一个团队的代码规范是很重要的,所以在每个人提交代码到分支上之前,必须进行代码静态扫描规范。 二、使用阿里巴巴代码扫描规范插件进行扫描
程序静态分析介绍
大草的博客
11-17 1452
程序静态分析介绍
代码漏洞扫描工具静态分析方法详解
xiaominggong的博客
06-30 1816
在开发过程中,优秀的源代码扫描工具可以帮助我们快速扫描漏洞,高效完成源代码缺陷修复。少漏报和误报率低的工具是我们的首选,我最近试用了许多源代码扫描工具和方案,其中DMSCA(端玛科技企业级源代码安全和质量缺陷扫描分析服务平台),我发现扫描效果很不错,是一款最能解决软件安全问题的工具,下面为做开发的朋友们演示下我的试用效果: ...
恶意代码检测的基本原理
05-21
恶意代码检测的基本原理是通过对计算机系统中的文件和进程进行扫描、分析和比对,识别出其中的恶意代码。具体来说,恶意代码检测主要有以下几个步骤: 1. 病毒特征提取:对已知的病毒样本进行静态或动态分析,提取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值