静态代码扫描的原理

最新推荐文章于 2024-08-05 20:38:41 发布
最新推荐文章于 2024-08-05 20:38:41 发布
阅读量3.6k 收藏 7
点赞数
文章标签: java 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SourceBrella/article/details/103985177
版权
静态代码扫描在早期发现和修复代码缺陷上具有显著优势,能降低开发成本。主要技术包括缺陷模式匹配、类型推断、模型检查和数据流分析。Fortify SCA、Checkmarx CxSuite、Coverity和源伞科技Pinpoint是代表性工具,其中Pinpoint以其分析能力和亲民价格受到推荐。
摘要由CSDN通过智能技术生成

静态代码扫描存在的价值

  1. 研发过程,发现BUG越晚,修复的成本越大
  2. 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段
  3. 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的

以上三点证明了,静态代码扫描在整个安全开发的流程中起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅度的降低开发以及修复的成本,能够帮助开发人减轻开发和修复的负担,许多公司在推行静态代码扫描工具的时候会遇到大幅度的阻力,这方面阻力主要来自于开发人员,由于工具能力的有限性,会产生大量的误报,这就导致了开发人员很可能在做BUG确认的工作时花费了大量的无用时间。因此选择一款合适的静态代码分析工具变得尤为重要,合适的工具能够真正达到降低开发成本的效果。

静态代码分析理论基础和主要技术

静态代码分析原理分为两种:分析源代码编译后的中间文件(如Java的字节码);分析源文件。主要分析技术如下:

  • 缺陷模式匹配
    事先从代码分析经验中收集足够多的共性缺陷模式,将待分析代码与已有的共性缺陷模式进行匹配,从而完成软件安全分析。优点:简单方便;缺点:需要内置足够多的缺陷模式,容易产生误报。

  • 类型推断/类型推断
    类型推断技术是指通过对代码中运算对象类型进行推理,从而保证代码中每条语句都针对正确的类型执行。

  • 模型检查

最低0.47元/天 解锁文章
SourceBrella
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
静态代码和动态代码的区别_静态代码扫描方法及工具介绍
weixin_39725594的博客
12-08 4959
来自:信安之路(微信号:xazlsec)本文作者:国勇(信安之路特约作者)静态扫描就是不运行程序,通过扫描代码的方式检查漏洞,常见的方法也有多种,如把源代码生成 AST(抽象语法树)后对 AST 进行分析,找出用户可控变量的使用过程是否流入到了危险函数,从而定位出漏洞;或者通过正则规则来匹配源代码,根据平常容易产生漏洞的代码定制出规则,把这些规则代入到代码中进行验证来定位漏洞。当然静态...
静态代码扫描原理和常见工具
LJLLJL20020628的博客
06-13 872
静态代码扫描价值 (1)研发过程,发现BUG越晚,修复的成本越大; (2)缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段; (3)统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 目标:希望在编码阶段发现更多问题。(静态代码扫描、code review) 静态代码分析理论基础和主要技术 ...
2024华为OD试题及答案-A024-静态扫描
最新发布
2401_86417859的博客
08-05 597
静态扫描可以快速识别源代码的缺陷,静态扫描的结果以扫描报告作为输出:1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。
静态代码扫描
陈高爽的博客
04-28 7882
静态代码分析(Static program analysis):在不运行程序的条件下,进行程序分析。 编译流程差不多分为这5个阶段: 词法分析生成token流语法分析生成抽象语法树针对抽象语法树进行语义分析,构建内部数据结构,如控制流图、生成中间代码代码优化目标代码生成 静态代码扫描通常分为两种: 模式匹配:匹配代码编译过程中的token流、抽象语法树(
本地代码规约扫描
zhuoya_的博客
04-26 522
写每一行代码的时候都要告诉自己:码出高效,码出质量。 这篇文章手把手教你代码怎么做到无错误,无漏洞,无异味。 一、背景 我的编译器:IntelliJ IDEA 我的开发语言:Java 本文以我写的spring-boot框架的demo为例 二、安装本地规约扫描工具 1 - Aibaba规约扫描插件 (1)插件安装:(因为我已将安装过了,所以截图显示的是update;第一次安装的,只需...
静态代码扫描原理及常用算法解析
静态代码扫描作为自动化工具之一,可以有效地帮助开发者发现潜在的代码缺陷和安全隐患。 ## 1.2 静态代码扫描的概念 静态代码扫描是指在不需要运行代码的情况下对代码进行分析和检查的过程。它不同于动态测试,它...
Android静态代码扫描效率优化与实践,看完这篇
m0_66264673的博客
02-17 2019
scope.add(PROGUARD_FILE) } else if (name.endsWith(DOT_PROPERTIES)) { scope.add(PROPERTY_FILE) } else if (name.endsWith(DOT_PNG)) { scope.add(BINARY_RESOURCE_FILE) } else if (name == RES_FOLDER || file.parent == RES_FOLDER) { scope.add(ALL_RESOURCE_FILES) s
静态代码扫描代码复杂度评估
## 二、静态代码扫描原理与方法 静态代码扫描是一种通过对源代码进行静态分析来检测程序缺陷和安全漏洞的方法。它能够帮助开发人员及时发现和修复潜在的问题,提高代码的质量和可靠性。本章将介绍静态代码扫描的...
代码静态扫描工具sonar介绍
热门推荐
liuhaiguang2012的博客
02-28 3万+
一、SonarQube整体介绍   SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言代码质量管理与检测。   通过客户端插件分析源代码,sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式,并通过各种不同的分析机制对...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
第一章 静态分析基础技术
CMC_HHM的博客
07-31 1515
目录 1.1反病毒引擎扫描:实用的第一步 1.2 哈希值:恶意代码的指纹 1.3查找字符串 1.4加壳与混淆恶意代码 1.4.1文件加壳 1.4.2使用PEiD检测加壳 1.5PE文件格式 1.6链接库与函数 1.6.1静态链接、运行时链接与动态链接 1.6.2使用DependencyWalker工具探索动态链接函数 1.6.3 导入函数 1.6...
静态代码分析学习
读书未遍、未敢妄下雌黄
03-28 6531
背景 软件开发过程中,工程师需要花费大量的时间和精力修改代码缺陷。从下图可以看出,在软件开发过程中,测试成本随着设计构建、QA、系统集成阶段的发展在不断增加。因此工程师应该努力在设计开发阶段优化代码、定位修复代码缺陷,这样可以节省大量时间和人力成本。 1 代码静态分析知识 【代码[静态分析](Program Static Analysis)是指在不运行代码的方式下,通过词法分析...
Java代码规约扫描插件 与 Java代码规范
a5678110的博客
02-27 270
https://github.com/alibaba/p3c 转载于:https://www.cnblogs.com/fonxian/p/8480464.html
Java上线静态代码扫描规范
Leeue李月
06-03 744
一、背景 一个团队的代码规范是很重要的,所以在每个人提交代码到分支上之,必须进行代码静态扫描规范。 二、使用阿里巴巴代码扫描规范插件进行扫描
程序静态分析介绍
大草的博客
11-17 1509
程序静态分析介绍
代码漏洞扫描工具静态分析方法详解
xiaominggong的博客
06-30 1859
在开发过程中,优秀的源代码扫描工具可以帮助我们快速扫描漏洞,高效完成源代码缺陷修复。少漏报和误报率低的工具是我们的首选,我最近试用了许多源代码扫描工具和方案,其中DMSCA(端玛科技企业级源代码安全和质量缺陷扫描分析服务平台),我发现扫描效果很不错,是一款最能解决软件安全问题的工具,下面为做开发的朋友们演示下我的试用效果: ...
常用Java静态代码分析工具的分析与比较
朝露待日晞
09-03 1031
常用Java静态代码分析工具的分析与比较
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值