使用lgtm发现开源项目安全漏洞

最新推荐文章于 2024-02-18 16:57:19 发布
最新推荐文章于 2024-02-18 16:57:19 发布
阅读量1.3k 收藏
点赞数
文章标签: javascript java 开发工具 ViewUI
原文链接:https://juejin.im/post/5b0a37da6fb9a07aa114a7ae
版权

什么是LGTM

  • lgtm在英文里的缩写含义是"Looks Good To Me.",即"朕知道了,代码已经过 review,可以合并"的意思。lgtm.com是Semmle公司下的子品牌,主要是做白盒扫描工具的。

他的优势是对Github上的开源代码进行了监控,发现并上报了诸多中间件安全与框架安全漏洞,譬如:
- CVE-2017-9805
- CVE-2017-13782
- CVE-2017-8045
- CVE-2017-8046
- CVE-2017-15089

  • 目前lgtm监控超过超过70,000的Gtihub项目,其中包含Google、Nasa、Microsoft等的开源项目。

支持的范围

  • 目前lgtm.com支持以下语言:
    • C and C++ (currently in beta testing)
    • Java
    • JavaScript/TypeScript
    • Python
  • lgtm.com支持Eclipse、Idea插件拓展。

典型用例

  • 1.在官方网站lgtm.com注册后,点击在线Query的Tab

  • 2.从用户输入获取数据,并且查找流出到反序列化的案例

    import java
    import semmle.code.java.dataflow.DataFlow
    import semmle.code.java.dataflow.FlowSources
    import semmle.code.java.dataflow.TaintTracking
    import UnsafeDeserialization

    from RemoteUserInput source, UnsafeDeserializationSink sink
    where source.flowsTo(sink)
    select source, sink

  • 3.如果返回值为0结果,也可以直接使用如下指令发现,区别在于不用写死的污染传播模型,而是使用包名关键词自己看上下文。

    import java

    from MethodAccess call, Method readobject
    where
    call.getMethod() = readobject and
    readobject.hasName("readObject") and
    readobject.getDeclaringType().hasQualifiedName("java.io", "ObjectInputStream")
    select call

  • 更多例子还可以查看官方blog,里面讲述了他们使用QL语言发现Spring的反序列化远程命令执行0day漏洞等。简单来说,一般QL语言主要包含以下模块:

    from xxx
    where xxxx
    select xxx

参考资料


weixin_34026276
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开源项目-lgtmco-lgtm.zip
09-03
开源项目-lgtmco-lgtm.zip,lgtmco/lgtm - LGTM is a simple pull request approval system
lgtm
02-15
lgtm LGTM이생 lgtm 하는지를 lgtm 명령어입니다。 Python 3.8.1在macOS,Windows,Ubuntu동작합니다中发布。 설치하기 $ pip install git+https://github.com/yeonsookim-wt/lgtm#egg=lgtm 사용법 lgtm 음하나를...
powershell Win32 API:本地用户管理(番外:Win32 错误处理)
最新发布
2401_82910308的博客
02-18 3114
未经允许不得转载,转载时请标注来源;禁止用作商业及其他衍生目的。有误请指正,侵权请联系删除。有更好的方法也请联系我求赞,关注,评论主要目的:实现错误处理(本系列所有$result对应的变量都为错误代码,有时作者可能不会进行错误处理,但请自行补充。
【杂谈】快来看看如何使用LGMT这样的蜜汁缩写来进行CodeReview吧!
字节卷动
11-22 5136
原来是评论LGMT写错了,应该写成LGTM, 那么什么是LGTM呢?LGTM是一个首字母缩写词,通常是GitHub代码审查的一部分。许多代码作者和审阅者都熟悉它。问题?有时,这四个字母不足以提供完整的上下文。您需要有一个可靠的流程才能很好地使用首字母缩略词。继续阅读以了解 LGTM 的含义,以及如何将其用作下一个项目的有效代码审查过程的一部分。
GitHub上的那些LGTM和WIP代表什么
weixin_38339817的博客
03-10 6581
在看 GitHub 上 PR 回复的时候,往往会出现类似于 LGTM、WIP等一类缩写,那么这些词分别代表什么意思呢? 通常,我们在 github 上最为常见的是以下这些词: 缩写全拼含义 PRPull Request如果给其它项目提交合并代码的请求时,就说会提交一个PR。 WIPWork In Progress如果你要做一个很大的改动,可以在完成部分的情况下先提交,但...
LGTM? 那些迷之缩写
houzhizhen的专栏
05-11 4618
收集了一些实用的缩写,方便大家日常交流(装B) LGTM  —  Looks good to me,表示认可这次PR,同意merge 合并代码到远程仓库 ASAP -— as soon as possible! 尽快 ACK  —  acknowledgement, i.e. agreed/accepted change NACK/NAK — negative acknowledgement, i.e. disagree with change and/or concept RFC  —  request
开源社区人们总说的LGTM什么意思?
weixin_30919571的博客
08-29 4978
答: LGTM就是Looks Good To Me(已经review了,可以合并)的意思 转载于:https://www.cnblogs.com/dakewei/p/11429761.html
2021年软件测试工具总结——安全性测试工具【附官网地址】
测试界的彭于晏的博客
12-28 7903
无论是早期的互联网时代,还是当今移动互联或万物互联时代,软件服务的安全性都至关重要,这也就迫使我们重视安全性测试。安全性测试一般围绕被保护的资产,通过代码和程序的分析来确定威胁或漏洞的严重程度,以及被利用的可能性和影响,来评估特定威胁或漏洞对企业造成负面影响的风险。除了综合的安全性风险评估之外,安全性测试一般有以下几种类型: 漏洞扫描:由工具自动对代码进行静态分析,以识别软件组件中是否存在已知的漏洞。 渗透测试:是在安全条件下模拟黑客对应用程序、软件、系统或网络进行网络攻击的过程。渗透测试可
logotome:[WIP]民主控制的开源项目开发
05-09
徽标假设您对一个新项目有一个好主意,并且愿意与知道正在谈论什么的人一起将该项目开源。 Logotome的想法是通过指定选民来提供民主控制的Github项目。概念根目录中的VOTERS文件指定可以对PR进行投票的GitHub用户。 ...
algtm-chrome-extension:aikatsu lgtm chrome扩展
04-30
aikatsu lgtm chrome扩展名。 代理api: : 安装 从下载algtm.crx 将algtm.crx拖放到chrome://extensions 开发 yarn start 建造 yarn build AikatsuUP! 此chrome扩展程序使用AikatsuUP!(aikatsu捕获数据库)API...
ShardingSphere 社区出品|LGTM :数据圈内的周度「热点精选」
ShardingSphere官微
02-20 359
LGTM」的意思是指:在我看来不错 (Looks Good to Me),这是代码审阅者在批准 CL 时说的常用语。本周,ShardingSphere 社区正式开辟一个全新的内容专栏——「LGTM 专栏」。致力为您带来业界最佳新闻,让您在 5 分钟内了解科技,欢迎大家持续关注与锁定!洞察榜全球「 技术风向标」计算机学会发布2023年网络安全十大发展趋势摘要:近日,中国计算机学会(CCF)计算...
Git 团队协作中常用术语 WIP PTAL CC LGTM 等解释
热门推荐
kunyus的博客
06-24 2万+
WIP   Work in progress, do not merge yet. // 开发中 LGTM Looks good to me. // Riview 完别人的 PR ,没有问题 PTAL Please take a look. // 帮我看下,一般都是请别人 review 自己的 PR CC Carbon copy // 一般代表抄送别人的意思 RFC  —  request fo...
Github中的缩写(PR, WIP, PTAL, TBR, TL, LGTM, SGTM, AFAIK, CC)含义
sally的jerry
07-18 4874
Github中的缩写(PR, WIP, PTAL, TBR, TL, LGTM, SGTM, AFAIK, CC)含义
Google 的工程实践指南 (上):代码审核指南
Testerhomee的博客
03-30 438
原文由知無涯发表于TesterHome社区,点击原文链接可与作者直接交流。 在代码审核的长期实践中,Google总结出了最佳实践,并在此基础上整理出了这些建议。整篇文档各部分的衔接性并不大,在阅读时,你可以选取自己感兴趣的部分,而不必按顺序阅读全文。当然,我们仍旧建议你按顺序通读全篇,你会发现这份文档对你非常有用。 ​ 一. 代码审核的标准 标准 代码审核的目的是为了保证代码库中的代码质量持续改进,代码审核的工具和流程都是为了实现这个目的而设计。 为了达到目标,我们需要权衡得失。 首先,开发人员必须能在.
java中constant_如何在Java中定義常量(Constant)
weixin_29016865的博客
02-25 106
/*** Method One*/interface ConstantInterface {String SUNDAY = "SUNDAY";String MONDAY = "MONDAY";String TUESDAY = "TUESDAY";String WEDNESDAY = "WEDNESDAY";String THURSDAY = "THURSDAY";String FRIDAY = "...
webrtc 打开Simulcast功能
liwenlong_only的博客
11-01 7374
webrtc 开启Simulcast功能 webrtc自带了Simulcast功能,可以将一个分辨率的流编码成多个分辨率并发送,观看端可以根据带宽去动态的选择某个分辨率,也可以自己选择某个分辨率,据说在webrtc M70版本提供了对外的接口开启Simulcast,并 vp8,vp9,h264三种编码器都支持Simulcast功能,但是在M70版本以下并不支持h264编码器的Simulcast功能...
from pygame.base import * # pylint: disable=wildcard-import; lgtm[py/polluting-import] ModuleNotFoundError: No module named 'pygame.base'
06-07
根据你提供的错误信息,看起来是你的代码中导入了pygame.base模块,但是该模块不存在。这个错误可能有多种原因,...你可以使用"pip install --upgrade pygame"命令来升级pygame库。 希望这些提示能够帮助你解决问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值