SAST
文章平均质量分 66
jimmyleeee
从事应用安全十余年,一直在努力......
展开
-
CheckMarx与SonarQube集成
这是一篇关于如何在SonarQube集成CheckMarx的介绍文章。原创 2022-08-22 16:33:52 · 857 阅读 · 0 评论 -
SAST不能顺利推行的原因
原因一:上级对安全不够重视,没有足够投入;原因二:开发任务紧,开发团队不愿意做,又没有有效的流程来推动;原因三:产品的误报比较高,而且没有持续的改进措施;原因四:SAST扫描报告中的修复建议很难看懂,没有一看就懂的可行的方案;原因五:SAST工具和开发流程集成的不够好,使用起来不方便;原因六:开发人员认为报告的问题只是理论上可能,在实践上并不那么明显;原因七:修复发现的问题代价比较高原因八:遗留系统的修复风险比较大...原创 2022-05-10 18:00:17 · 168 阅读 · 2 评论 -
如何有效地运用SAST
如何有效地运用SASTHenry Petroski曾经说过:要构建一套健壮的系统,就必须要明白这个系统可能会怎样失效。错误是不可避免的,但要有有效的措施来控制错误的发生。虽然精确地控制错误的发生不太可能,但是,也可以控制错误发生的可能性。同样针对安全而言,也不可能精确地控制所有安全问题的发生,但是,也可以通过人工或者工具控制错误发生的可能性。特别是对某些类型的安全问题,例如:注入问题、加密算法问题、硬编码密码等问题,还是可以通过SAST工具有效地去挖掘的。也就是说,通过SAST可以于充分挖掘一些可能导致原创 2022-04-29 18:23:45 · 477 阅读 · 0 评论 -
应用安全系列之二十五:不安全的反序列化
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。DOS攻击以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。访问控原创 2022-04-07 18:31:16 · 1464 阅读 · 0 评论 -
如何选择合适的SAST工具
随着敏捷开发的流行,安全左移的重要性也越来越重要,实现安全的自动化,也就需要大量工具的支持,SAST工具是其中非常重要的一个工具。如何选择一个合适的SAST工具就非常重要。本文集合自己几年的SAST的开发经验和多年的SAST的使用经验,介绍一些选择SAST工具的几个需要关注的重要的方面。1. 支持的语言与框架这一点不言而喻,工具支持的语言是最重要的,如果使用的语言工具都不支持或者支持的不足够好,这种工具再好,也没有用。当然,语言支持了,只是第一步,因为一个工程的开发,不可能在原生语言基础上来开发原创 2022-04-04 15:50:23 · 1027 阅读 · 0 评论 -
静态扫描规则:不安全的加密算法
今天使用一款SAST扫描不安全的加密算法时,发现一个很明显的代码段,居然没有扫描到,代码段如下:private static void testdes() { try { //Creating a KeyGenerator object KeyGenerator keyGen = KeyGenerator.getInstance("des"); //Creating a SecureRandom object SecureRandom secRandom = new S原创 2022-03-07 18:13:22 · 4863 阅读 · 3 评论 -
Checkmarx与Sonarqube的比较
Checkmarx是一款SAST,主要扫描安全问题和最佳实践的问题;SonarQube主要是扫描代码质量和最贱实践问题,最近也添加了一些安全规则的扫描的支持。下面是比较两款工具的主要参数的不同点,仅供参考。类型 参数 Checkmarx Sonarqube 基本功能 支持语言 JavaScript,Java,PHP,Python,Swift,Go,Apex,Scala,.Net,C,C++,Android,Ruby,Perl,Groovy,PL/SQL, Asp.原创 2022-02-09 11:32:51 · 2579 阅读 · 2 评论 -
几款静态扫描工具(SAST)的比较
最近公司因为安全的发展需求,需要调查一下市场上的SAST工具,看看是否有哪些工具能够更好滴满足公司提高安全开发和安全集成的需求。经过大量的调查把各种工具的一些特性罗列如下:参数 Checkmarx ShiftLeft Snyk Coverity Veracode Contrast Fortify Sonarqube CodeQL Semggrep 支持语言 JavaScript, Java,PHP, Pyth...原创 2022-01-25 17:57:16 · 9879 阅读 · 3 评论