探索Joern:代码安全审计的新维度

最新推荐文章于 2024-05-27 09:58:04 发布
最新推荐文章于 2024-05-27 09:58:04 发布
阅读量251 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00089/article/details/136982409
版权

探索Joern:代码安全审计的新维度

项目地址:https://gitcode.com/ShiftLeftSecurity/joern

Joern是一款强大的开源工具,专注于大规模源代码的安全审计。它结合了静态分析和图形数据库的力量,帮助开发者、安全专家以及自动化系统发现潜在的软件漏洞。

项目简介

由ShiftLeft Security开发并维护的Joern,是一个基于文本和图谱的数据分析平台。它的名字来源于“join”和“horn”的组合,象征着将代码数据转化为可探索的图谱结构。Joern支持多种编程语言,并能够生成丰富的交互式图表,便于理解复杂代码结构和潜在的安全问题。

技术解析

Joern的核心是其内置的代码解析器,它能够读取大型代码库,将其转换为一种中间表示形式——Octopus图。这种图谱模型保留了代码的语义信息,包括函数调用、变量依赖等,使得安全分析更加高效。

此外,Joern利用Neo4j作为后端图数据库,存储和查询这些大型图谱。 Neo4j的强大查询语言Cypher让研究人员可以方便地进行复杂的查询和模式匹配,找寻可能的安全风险。

Joern还提供了一个名为joern-cli的命令行界面,用于执行分析任务,以及一个Web UI,用户可以通过该界面可视化和浏览代码图。

应用场景

  1. 安全审计:在新引入的代码或已有的代码库中,快速定位潜在的安全问题。
  2. 教育与研究:学习代码结构,了解函数间的依赖关系,用于教学或学术研究。
  3. 自动化检测:集成到持续集成/持续部署(CI/CD)流程,对每次提交进行安全性检查。
  4. 性能优化:通过代码图分析,识别瓶颈和不必要的复杂性,提升软件性能。

特点

  • 可扩展性:Joern设计为模块化,允许添加新的解析器和支持更多的编程语言。
  • 高性能:通过图数据库,即使处理大量代码也能保持高速。
  • 可视化:Web UI提供了丰富的图形界面,便于非技术人员理解和解读结果。
  • 开放源码:完全免费且开源,鼓励社区参与开发和贡献。

结论

Joern是代码安全分析领域的一把利剑,它的独特之处在于其高效的图谱模型和强大的数据分析能力。无论是开发者为了提高代码质量,还是安全团队为了保障产品安全,Joern都是一个值得尝试的工具。如果你经常面对大规模代码审计的挑战,不妨一试Joern,看看它如何提升你的工作效率。

项目地址:https://gitcode.com/ShiftLeftSecurity/joern

gitblog_00089
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
源码分析工具joern使用教程
SHELLCODE_8BIT的博客
10-05 2647
Joern 是一个对源代码、字节码和二进制代码进行稳健分析的平台。它生成代码属性图,一种用于跨语言代码分析的代码图形表示。代码属性图存储在自定义图数据库中。这允许使用以基于 Scala 的特定领域查询语言制定的搜索查询来挖掘代码Joern 的开发目标是为静态程序分析中的漏洞发现和研究提供有用的工joern 现在支持的语言:NameBased onMaturityC/C++HighC/C++Highx86/x64GhidraMediumJVMSootMediumLLVM。
Joern cpg 代码属性图查询使用教程
SHELLCODE_8BIT的博客
10-04 1077
测试项目可以用 owasp 的 webgoat、benchmark,这里以 owasp benchmark 的 BenchmarkTest01064.java 为例。
Joern生成各种图
apple_53406386的博客
04-02 1279
Joern基本使用
程序分析-Joern工具工作流程分析
qq_44370676的博客
06-12 3600
主要介绍Joern的工作流程。
Joern代码使用-devign
lockhou的博客
03-05 6040
** 最近一直在做关于图神经网络试验的复现,但是开源的代码真的是少之又少,说起我和joern的爱恨离愁还真是有很长时间了 ** 初试 joern-cli 代码中使用问题 问题解决
代码属性图之-joern简易教程
water_likly的博客
04-20 4496
Joern实例分析 在Joern中发现了一个实例教程,本着学习的态度,尝试复现这个过程,以增加自己的经验!严谨转载,欢迎讨论! 1 正常安装joern以及neo4j。 2 建议下载教程中的VLC版本。 cd $JOERN #joern目录 mkdir tutorial; cd tutorial #创建并转入tutorial wget http://download.videolan....
探索网络安全维度:Navex 框架
gitblog_00058的博客
05-27 221
探索网络安全维度:Navex 框架 项目地址:https://gitcode.com/aalhuz/navex Navex 是一个针对Web应用程序的漏洞利用生成框架,它通过静态和动态分析两步法来识别并创建具体的漏洞利用。这个创项目在USENIX Security 2018会议上发表,旨在为安全研究者提供一个高效且精确的工具。 1、项目介绍 Navex 主要由两个阶段组成: 阶段一:脆弱点识别...
joern:基于代码属性图的CC++JavaBinary开源代码分析平台
07-24
约恩 Joern 的文档可在此处获得: : 快速安装 wget https://github.com/ShiftLeftSecurity/joern/releases/latest/download/joern-install.shchmod +x ./joern-install.shsudo ./joern-install.shjoernCompiling ...
java开放平台源码-joern:基于代码属性图的C/C++/Java开源代码分析平台
05-19
Joern的文档可在以下位置找到: 快速安装 wget https://github.com/ShiftLeftSecurity/joern/releases/latest/download/joern-install.sh chmod +x ./joern-install.sh sudo ./joern-install.sh joern Compiling ...
joern:基于代码属性图的CC ++ Java开源代码分析平台-java source code analysis
03-25
Joern的文档可在以下位置找到: : 快速安装 wget https://github.com/ShiftLeftSecurity/joern/releases/latest/download/joern-install.sh chmod +x ./joern-install.sh sudo ./joern-install.sh joern Compiling...
joern2sarif:将JoernOcular json转换为SARIF
03-07
介绍这是一个实用程序脚本,用于将 / 生成的json文件转换为格式。用法sudo pip install joern2sarifjoern2sarif -i findings.json -o joern-findings.sarif 示例用法执照阿帕奇2.0
llvm-joern-frontend:Joern的ClangLLVM前端
05-05
查看llvm 页面以获取有关如何安装它们的信息用法首先阅读文档,了解如何为正在分析的代码设置libtooling 然后做:$ cd $WORKING_DIR /clang-joern-frontend$ mkdir build$ cd build$ cmake -DCJ_LLVM_BUILD_ROOT_...
“推荐系统”相关资源推荐
06-14
推荐了国内外对推荐系统的讲解相关资源
全渠道电商平台业务中台解决方案.pptx
06-14
全渠道电商平台业务中台解决方案.pptx
云计算企业私有云平台建设方案.pptx
06-14
云计算企业私有云平台建设方案.pptx
通过CNN卷积神经网络对盆栽识别-含图片数据集.zip
最新发布
06-14
代码是基于python pytorch环境安装的。 下载本代码后,有个requirement.txt文本,里面介绍了如何安装环境,环境需要自行配置。 或可直接参考下面博文进行环境安装。 https://blog.csdn.net/no_work/article/details/139246467 如果实在不会安装的,可以直接下载免安装环境包,有偿的哦 https://download.csdn.net/download/qq_34904125/89365780 安装好环境之后, 代码需要依次运行 01数据集文本生成制作.py 02深度学习模型训练.py 和03pyqt_ui界面.py 数据集文件夹存放了本次识别的各个类别图片。 本代码对数据集进行了预处理,包括通过在较短边增加灰边,使得图片变为正方形(如果图片原本就是正方形则不会增加灰边),和旋转角度,来扩增增强数据集, 运行01数据集文本制作.py文件,会就读取数据集下每个类别文件中的图片路径和对应的标签 运行02深度学习模型训练.py就会将txt文本中记录的训练集和验证集进行读取训练,训练好后会保存模型在本地
0.96寸OLED显示屏
06-14
尺寸与分辨率:该显示屏的尺寸为0.96英寸,常见分辨率为128x64像素,意味着横向有128个像素点,纵向有64个像素点。这种分辨率足以显示基本信息和简单的图形。 显示技术:OLED(有机发光二极管)技术使得每个像素都能自发光,不需要背光源,因此对比度高、色彩鲜艳、视角宽广,且在低亮度环境下表现更佳,同时能实现更低的功耗。 接口类型:这种显示屏通常支持I²C(IIC)和SPI两种通信接口,有些型号可能还支持8080或6800并行接口。I²C接口因其简单且仅需两根数据线(SCL和SDA)而广受欢迎,适用于降低硬件复杂度和节省引脚资源。 驱动IC:常见的驱动芯片为SSD1306,它负责控制显示屏的图像显示,支持不同显示模式和刷频率的设置。 物理接口:根据型号不同,可能有4针(I²C接口)或7针(SPI接口)的物理连接器。 颜色选项:虽然大多数0.96寸OLED屏为单色(通常是白色或蓝色),但也有双色版本,如黄蓝双色,其中屏幕的一部分显示黄色,另一部分显示蓝色。
joern怎么在eclipse中使用
11-28
Joern是一个开源的代码静态分析工具,可以帮助开发人员快速进行代码安全性评估和漏洞检测。在Eclipse中使用Joern,可以进一步方便地集成Joern的功能。 下面是在Eclipse中使用Joern的步骤: 1. 首先,需要安装Eclipse IDE(集成开发环境)和Joern插件。可以从Eclipse官网下载Eclipse IDE,并从Joern的官方网站获取Joern插件的jar文件。 2. 打开Eclipse IDE,选择“Help”菜单,然后点击“Eclipse Marketplace”。在搜索栏中输入“Joern”,点击搜索按钮。 3. 在搜索结果中,找到Joern插件,点击“Go”按钮进行安装。安装完成后,需要重启Eclipse IDE。 4. 安装完毕后,在Eclipse的菜单栏中出现“Joern”选项,点击它可以进入Joern插件界面。 5. 在Joern插件界面中,可以选择分析的代码项目。点击“Add”按钮,选择要分析的代码项目所在的文件夹,并设置分析的语言类型。 6. 设置完项目后,可以在Joern插件界面的“Analyse”部分选择不同的分析方法,如漏洞检测、规则匹配等。根据需要进行适当的配置。 7. 完成配置后,点击“Analyze”按钮开始分析代码。分析结果将在Eclipse的Console视图中显示出来。 8. 可以根据分析结果进行代码改进或漏洞修复。可以使用Joern插件中的其他功能和工具,如可视化图形展示、查询分析结果等。 通过以上步骤,就可以在Eclipse中使用Joern进行代码静态分析和漏洞检测。使用Joern可以帮助开发人员快速发现和修复代码中的安全问题,提高代码质量和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00089

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值