深入了解现代 SAST 工具​​

最新推荐文章于 2025-04-23 17:53:17 发布
最新推荐文章于 2025-04-23 17:53:17 发布
阅读量415 收藏
点赞数
文章标签: eclipse emacs vim
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/131729371
版权

现在我们已经掌握了一些资源,并且对 CodeQL 和 Semgrep 有所了解,让我们深入了解它们。虽然这两种工具都是现代静态分析工具的很好的例子,但它们却大不相同。

使用案例

我首先要说的是,对于 CodeQL 和 Semgrep,我都关心一个用例,它增强了我的漏洞研究工作流程,以帮助识别给定代码库中的安全漏洞,以及 GitHub 和 R2C 主要试图向您推销的用例,利用这些工具作为左移策略的主要组成部分。他们的目标是取代您现有的 SAST,或者成为尚未推出的公司的首次实施。他们的目标是集成到 CI 管道中,以每隔一段时间或作为代码评审过程的一部分运行,并在问题投入生产之前识别问题。从他们的许可模式中可以清楚地看出这一点,我们将很快讨论。

有几类问题可用于:

  • 安全漏洞
  • 非安全漏洞
  • 样式执行/检查

这两种工具都附带一个查询和规则库,这些查询和规则实现对这些示例的检测,并能够编写自己的查询和规则。我没有花太多时间评估每个库附带的库,以真正说明质量或全面性,因为在我的大多数使用中,我已经编写了自定义规则来检测非常具体的条件,这些条件相当适合代码库本身,而不是一般规则。

这主要用于执行变体分析,以识别存在特定漏洞模式的其他位置或执行数据流分析,同时消除采取特定步骤以消除漏洞的情况(例如,清理SQL查询的输入)。我的假设是,这些库中的通用查询和规则可能相当有限,除了最令人震惊的问题,以避免误报并应用于尽可能广泛的代码库集。包含的库是我想在未来更深入地研究的东西,但从浏览它们来看,它们本身似乎对我的用例并没有特别帮助。

发牌

许可实际上是一件大事,具体取决于您要做什么以及您需要哪些功能。CodeQL 许可相当简单。您可以完全免费使用该工具的所有功能,只要您将其与开源代码一起使用即可。第二个你想把它与封闭的源代码一起使用(除了一些狭窄的剥离),你需要一个商业许可证。这是GitHub高级安全(GHAS)中包含的内容,这是他们的商业产品之一,也是GitHub Enterprise(SaaS或服务器)的附加组件,您可以在其中按组织的每个用户付费。如果您不是现有的 GitHub 客户或尝试在 GitHub 生态系统之外使用它,祝你好运。

他们真的不想卖给你许可证,除非你准备投入一些大笔资金(数十万美元),否则他们甚至不想和你说话,即使你告诉他们你已经批准了预算并试图向他们扔钱。他们的商业模式主要集中在销售 GHAS 和向每个承诺用户收取每个正在扫描的存储库的费用,而不是为漏洞研究人员提供商业访问。作为一个领导一个进攻性安全团队的人,这个团队在短期内定期进出回购,并且没有工程师使用工具本身,这对我们来说不是一个实用或现实的选择。定价与我们的用例不一致,对于以这种方式使用它的大多数团队/企业来说是不现实的。

经过大量的来回,一些冷冰冰的电子邮件,以及骚扰合适的人,我能够获得一些非开源工作的许可证,但这是迄今为止在漏洞研究中合法使用CodeQL最痛苦的绊脚石之一。根据您的用例,这可能很重要,也可能无关紧要。除非您在内部漏洞研究团队中,或者作为咨询安全服务公司进行开放式评估,否则似乎没有很多情况可以访问您想要使用 CodeQL 的闭源码。

Semgrep 许可既简单又复杂,具体取决于您关心的功能。R2C 提供了 Semgrep 的开源版本,可用于开源和闭源软件。此 OSS 版本仅限于文件内过程内分析。他们还在销售一个新的Pro版本,其中包括具有过程间分析的文件内和具有过程间分析的迭代文件。这在“团队”层及以上层可用,同样按开发人员每月计费。他们还提供“安全顾问/早期创业公司是否有特殊定价?定价页面上的常见问题解答,这实际上是大多数研究人员将要选择Pro的道路。 不清楚此选项的许可是什么样子的,或者如果您想要Pro,获得它有多难。

到目前为止,我主要在我的用例中使用 OSS,它已经完成了我使用的狭窄范围所需要的。除了文件间和过程间支持外,OSS 和 Pro 之间的另一个主要区别是增加了一些仅限 Pro 的语言支持。在撰写本文时,唯一提到的是Apex,这是Salesforce用于定制的语言。

工具

在之前的文章中,我已经谈到了工具,特别是关于CodeQL VS Code扩展和Semgrep游乐场。我想更深入地介绍这些工具以及生态系统中存在的其他一些工具。鉴于Microsoft拥有GitHub,GitHub拥有CodeQL,很明显他们会选择VS Code来构建。我非常直言不讳地不喜欢VS Code。我认为烤面包机弹出窗口非常烦人,很多扩展都有问题,整体集成非常受欢迎。话虽如此,CodeQL 扩展非常适合使用。它确实使体验明显改善。

在代码完成、快速查询、数据库管理、集成到 GitHub、AST 可视化、查询历史记录以及与查询结果的交互之间,您真的不能要求更好的方法来使用 CodeQL。如果使用 VS Code 进行代码浏览和代码库审核,则尤其如此,它确实可以让您保持所有位置并非常集成所有内容。如果您正在迭代查询,那就太好了,因为它允许您逐步进行,尤其是当您开始重构(例如将独立查询转换为类)或开始使用更高级的功能(例如数据流或污点跟踪)时。

肯定有改进的余地,我已经给了他们一些直接的反馈。作为喜欢 JetBrains 产品的人,很高兴看到他们的生态系统中的官方扩展,但我并没有为此屏住呼吸。但这在 CodeQL 方面确实如此

GitHub本身有许多集成,并将其引入“代码扫描”,这是他们利用CodeQL的SAST产品,但一般来说,这对于漏洞研究来说可能不会特别有趣。

在Semgrep方面,故事就没有那么好了。还有一个VS Code扩展,尽管它特别指出它没有主动维护。因此,我没有亲自使用它。它是开源的,但自 2022 年以来一直没有更新。

在交互式处理结果方面,我发现的最佳选择是利用Semgrep可以生成的SARIF输出。如果您从未使用过 SARIF,它是一种使用 JSON 的开放标准文件格式,旨在成为静态分析工具之间的交换格式。VS Code 有一个扩展名,增加了对 SARIF 文件的支持。它可以加载它们并打开一个交互式窗格,该窗格允许您深入了解结果并将您带到代码中已匹配的位置。它甚至可以很好地与基于污点跟踪的发现一起使用,并专门注释发生不同污点步骤的代码。加载文件有点挑剔,但总体上效果很好。不幸的是,我还没有找到 JetBrains 生态系统的良好扩展,所以再次陷入 VS Code 中。如果这是你习惯的,你应该有宾至如归的感觉。

R2C还提供了Semgrep应用程序。它实际上是为了集成、管理调查结果和处理规则管理。总的来说,我觉得它对我的用例不是特别有用。我倾向于在本地编写规则并自己管理它们的运行/分发。如果你在一个集群中耕种,我可以看到它很有帮助,但总的来说,我的工作流程保持得很好。

语言支持

根据您使用的语言,这可能是您可以使用哪些工具的决定因素之一。这两种工具都涵盖了广泛的通用语言。您可以在此处查看 CodeQL 的支持矩阵,在此处查看 Semgrep 的支持矩阵。它们在击中许多通用语言方面都做得很好,尽管CodeQL特别不支持PHP和C,并且Semgrep中的C++支持是实验性的。需要注意的另一件事是,虽然列出了对各种语言的支持,但所有支持并不相同。

如果您浏览两者中的问题跟踪器,您会发现许多特定语言未按预期运行的问题。在我迄今为止有限的经验中,在语言支持的错误方面,我在 CodeQL 上遇到的问题比我在 Semgrep 上遇到的问题要少。我不能说客观的质量或正确性,但我可以提供一些我遇到的问题的例子。在到达那里之前,我认为简要介绍一下两者的工作原理是有意义的,因为这将提供一些背景。

我对 CodeQL 如何实现对语言的支持的理解是,他们为特定语言构建了一个提取器。这通常利用语言的编译器/解释器对代码进行建模并创建存储在数据库中的必要关系。然后需要构建一个标准库,对可用于编写查询的语言语法和语义进行建模。这个标准库是用 CodeQL 本身编写的。在大多数情况下,标准库至少会因语言而异,这意味着了解一种语言不一定会翻译成另一种语言,这可能会令人沮丧,但根据我的经验,文档非常好,从一种语言到另一种语言并不难。大多数高级概念都非常相似。

我的理解是,提取器本身是开源的,理论上你可以构建自己的,尽管作为一个做过相当多解析器开发和分析工作的人,这对于个人的大型语言来说似乎不是很实用,考虑到上面讨论的许可问题,我可能不会这样做。最终这意味着,在某些/大多数情况下,真正的解析器用于解析正在分析的代码,因此如果语言实现认为它是有效的代码,CodeQL 也应该如此。

另一方面,Semgrep利用了Tree-sitter,这是一个在许多项目中使用的通用解析器生成器库。由于Tree-sitter和Semgrep OSS是开源的,理论上也可以添加对新语言的支持,但目前还不清楚这将需要多少工作,以及它是否适用于Semgrep的Pro版本。从 GitHub 问题来看,他们似乎利用开箱即用的语法来解析语言,这是一把双刃剑。这意味着他们以最少的工作免费获得大量语言支持,但他们也仅限于现有语言,除非他们想编写自己的语言,并且受到可用语法质量的限制,除非他们想修复它们。这似乎导致能够更快地为更多语言提供支持,但这些语言并不总是最正确的。

这方面的一个例子是我在 Semgrep 的 PHP 处理中发现的一个问题,尽管 PHP 没有对函数强制区分大小写,但它将函数调用视为区分大小写。这会导致 Semgrep 中的假阴性检测。一般来说,除了偶尔的错误之外,许多非常通用的东西似乎在语言中运行良好,但是当你进入语言中一些更深奥和鲜为人知的功能时,你开始看到它们被错误地处理。

自动修复

我想指出这一点以及Semgrep提供的一些有趣的东西,这些东西可能对漏洞研究用例特别有用,也可能不是特别有用,但对于利用这些工具作为左移策略一部分的人来说可能很有趣。Semgrep 提供了在规则中定义自动修复的功能。当模式匹配时,可以将修复应用于源。从理论上讲,这可以用来自动提交拉取请求,而不需要工程师自己编写修复程序。它似乎不是非常灵活,可能不是处理披露的理想方式,如果你想这样做,但这是一种选择。

如果它是你想要利用的东西,那么它的有用性可能会非常依赖于规则(例如,你能以编程方式定义如何以正确的方式修复代码)。我不知道有多少次会有一条明确的路径,并且可能会有负面的二阶效应。

例如:

  • 它是否破坏了下游软件(例如 API 损坏)?
  • 它是否会更改序列化/数据格式并损坏/中断持久存储?

这些是严重的问题,我会担心依赖它,但可能是最简单的问题,直到我有一些实际经验来支持它的使用。

总结

我希望这有助于概述 CodeQL 和 Semgrep 之间的一些异同,并真正展示它们的优势和劣势所在。将来,我们将深入研究查询和规则,并对两者进行深入比较。

参考:goingbeyondgrep

why811
关注
【DevSecOps】10种静态应用程序安全测试SAST工具对比
欧阳天涵的专栏
03-14 350
SAST工具通过分析应用程序的基础元素来工作,审查其代码库而无需执行应用程序。通过这种方式,SAST工具可以识别可能难以在不仔细审查系统的情况下发现的漏洞。在此级别上识别错误和漏洞还可以使解决过程更加高效;开发人员知道问题所在以及他们需要修复的问题。这导致了安全和有弹性的应用程序结构,节省了时间和资源,从长远来看,可能会用于解决安全事件。 在本指南中,我们列出了可以帮助您的应用程序从最基本级别保护的前10个SAST工具
Java Servlet 代码质量检测工具的使用与实践
Java大师兄的博客
04-17 655
本文旨在为Java Web开发人员提供一套完整的Servlet代码质量检测方案。我们将覆盖从基础概念到高级实践的完整知识体系,重点介绍如何在Servlet开发环境中实施有效的代码质量管控。文章首先介绍Servlet技术基础和代码质量概念,然后深入分析主流检测工具,接着通过实战案例展示工具集成,最后讨论应用场景和发展趋势。Servlet:Java编写的服务器端程序,用于处理Web请求和生成响应代码质量:衡量代码可维护性、可靠性、安全性和效率的综合指标静态分析:在不执行代码的情况下分析源代码质量的技术。
安全工具箱必备技术之静态分析安全测试(SAST)
程序员阿飘 的博客
03-04 827
有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括:静态分析安全测试(SAST)动态分析安全测试(DAST)源成分分析(SCA)漏洞扫描器渗透测试通过自动化工具提高安全性的动机是将软件开发生命周期(SDLC)中尽早识别和修复漏洞的工作左移。当应用程序接近发布时,修复和补救变得更加复杂。图1显示了随着SDLC的进展,修复漏洞的成本如何急剧增加。图1:随着SDLC的进展,修复漏洞的成本增加。
2025 国内外主流静态分析类(SAST工具汇总
软件供应链安全选型指南
02-10 1772
PC-Lint 是GIMPEL SOFTWARE公司开发的C/C++软件代码静态分析工具,它的全称是PC-Lint/FlexeLint for C/C++,PC-Lint 能够在Windows、MS-DOS和OS/2平台上使用,以二进制可执行文件的形式发布,而FlexeLint 运行于其它平台,以源代码的形式发布。PolySpace根据软件的源代码,对软件进行抽象,这种突破性的方法使得程序员在写代码的同时,就能精确的而且自动的查明软件的运行时错误。它的安装非常简单,下载之后简单的解压即可。
国内外主流静态分析类工具汇总
热门推荐
manok的专栏
07-27 2万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
如何选择合适的SAST工具
jimmyleeee的专栏
04-04 1120
随着敏捷开发的流行,安全左移的重要性也越来越重要,实现安全的自动化,也就需要大量工具的支持,SAST工具是其中非常重要的一个工具。如何选择一个合适的SAST工具就非常重要。本文集合自己几年的SAST的开发经验和多年的SAST的使用经验,介绍一些选择SAST工具的几个需要关注的重要的方面。 1. 支持的语言与框架 这一点不言而喻,工具支持的语言是最重要的,如果使用的语言工具都不支持或者支持的不足够好,这种工具再好,也没有用。 当然,语言支持了,只是第一步,因为一个工程的开发,不可能在原生语言基础上来开发
2025年如何挑选静态应用安全测试(SAST工具
Anprou的博客
02-21 1009
AI漏洞代码自动修复:灵脉SAST全新接入AI大模型智能算法:通过将用户代码进行分块并构建向量索引、建立用户代码向量库,基于RAG及LLM编排技术,AI大模型对需要修复的漏洞代码进行检索,快速精确地匹配并提供最适合当前代码上下文的修复方案及修复建议。但理想情况下,你的SAST解决方案还应该能够显示每个API中存在的漏洞,让你可以根据API的业务价值来确定待修复漏洞的优先级。此外,如果你的SAST能够发现并盘点源代码中的API,找出未记录的API,那你也可以通过DAST来测试这些未记录的API。
深入理解OWASP Top 10:Web应用程序安全的关键
A526847的博客
05-05 993
默认情况下或在较旧的代码中是否使用任何旧的或弱的加密算法?启用或安装了不必要的功能(例如,不必要的端口、服务、页面、帐户或权限)。不安全的设计 :不安全设计是一个广泛的类别,代表许多不同的弱点,表现为“缺失或无效的控制设计”。例如,在对象或数据被编码或序 列化为攻击者可以看到和修改的结构的情况下,很容易受到不安全的反序列化的影响。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最 常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
AI技术在代码安全扫描中的实践
欢迎来到我的CSDN空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
03-21 1035
随着软件系统的复杂性不断增加以及网络攻击手段的日益多样化,代码安全问题变得愈发重要。一个小小的代码漏洞可能会导致严重的安全事故,如数据泄露、系统瘫痪等。代码安全扫描的目的就是在软件开发的各个阶段,及时发现并修复潜在的安全漏洞,确保软件系统的安全性和稳定性。本文的范围主要聚焦于AI技术在代码安全扫描中的应用。我们将探讨如何利用机器学习、深度学习等AI技术来提高代码安全扫描的准确性、效率和全面性,涉及从核心概念、算法原理到实际项目应用等多个方面。
软件工程领域敏捷开发的安全保障措施
最新发布
软件工程实践的博客
04-23 1070
在当今快速发展的软件行业中,敏捷开发已经成为一种主流的开发模式。它强调快速迭代、客户参与和团队协作,能够显著提高软件开发的效率和响应速度。然而,这种开发模式也给软件安全带来了新的挑战。本文章的目的在于全面探讨软件工程领域敏捷开发中的安全保障措施,涵盖从开发流程的各个环节到人员意识培养等多个方面,旨在为软件开发者、项目管理者和企业提供实用的安全指导,确保在敏捷开发过程中软件系统的安全性。文章的范围包括敏捷开发的核心概念、安全风险分析、具体的安全保障措施、实际应用案例以及相关的工具和资源推荐等。
从RSAC看DevSecOps的进化与落地思考
Anprou的博客
03-03 1072
​0引言 2020年RSA Conference于2月24日至28日在美国旧金山如期召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应...
几款静态扫描工具SAST)的比较
jimmyleeee的专栏
01-25 1万+
最近公司因为安全的发展需求,需要调查一下市场上的SAST工具,看看是否有哪些工具能够更好滴满足公司提高安全开发和安全集成的需求。经过大量的调查把各种工具的一些特性罗列如下: 参数 Checkmarx ShiftLeft Snyk Coverity Veracode Contrast Fortify Sonarqube CodeQL Semggrep 支持语言 JavaScript, Java,PHP, Pyth...
2025 自动代码审计工具灵脉 SAST 的应用实践
软件供应链安全选型指南
03-04 1302
未实现指向分析,会产生一定的误报。灵脉SAST白盒代码审计平台(灵脉AI)是基于多模智能引擎的新一代静态代码安全扫描产品,提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力,能从编码源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。1 融合SCA双倍AI驱动引擎进行同步检测,并支持组件漏洞可达性分析,通过评估第三方组件的安全性、审查代码的合规性和最佳实践,帮助确保整个数字供应链的安全性和可信度,提供供应链安全审查并实现供应链安全能力支撑。
SAST :静态应用程序安全测试
网络研究观
09-01 1350
静态应用程序安全测试 (SAST) 一直是应用程序安全工作的核心部分。
网安加·百家讲坛 | 张飞:SAST基础原理及五款主流工具对比
WAJXY2021的博客
11-26 1604
详细对比五款主流SAST工具的优势与劣势,助您选择工具时快速决策。
SAST、DAST、IAST几种测试工具的比较
jimmyleeee的专栏
07-02 6960
在安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
SAST静态应用安全测试工具的分析引擎小析
manok的专栏
06-19 746
代码审计
SAST-短小精悍的Benchmark
BASK2311的博客
04-08 868
若你想要测试一款SAST分析引擎的分析能力,直接拿本文的测试样例去跑,根据测试结果就能大概评估引擎的分析能力了,这么短小精悍的Benchmark,你爱了吗!
安全测试工具分为 SAST、DAST和IAST 您知道吗?
liwenxiang629的博客
11-20 1569
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!
C\C++ SAST工具
03-08
### 静态应用安全测试(SAST)工具对于C/C++的支持 #### PVS-Studio SAST 工具 PVS-Studio 是一种用于检测 C/C++ 代码中的错误和潜在漏洞的强大工具[^1]。该工具不仅能够识别常见的编程缺陷,还特别擅长于发现可能导致安全隐患的问题。 #### OpenText Static Application Security Testing (SAST) OpenText 提供了一个集成生态系统(sysin),允许开发者通过将安全性功能嵌入常用的开发环境中来增强应用程序的安全性[^2]。这种紧密的集成为团队提供了便利,在日常工作中自然融入了安全实践。 #### Rosecheckers 编码合规性检查器 Rosecheckers 是一款专注于确保代码遵循 CERT 编程准则的小型工具,可在 SourceForge 上免费获取[^3]。尽管它不是完全成熟的解决方案,但对于特定场景下的深入审查仍然具有价值,特别是当其他主流工具未能捕捉到某些特殊类型的错误时。 #### 早期集成的重要性 为了最大化效果并减少后期修复的成本,建议尽早引入静态分析工具进入项目生命周期中。这样可以及时捕获问题,使维护更加高效[^4]。 ```cpp // 示例:使用PVS-Studio进行简单的内存泄漏检测 #include <iostream> using namespace std; void unsafeFunction() { int* data = new int[10]; // Potential memory leak here. } int main(){ unsafeFunction(); } ``` 上述例子展示了如何编写可能引发资源泄露风险的函数;而像 PVS-Studio 这样的工具可以帮助我们提前预警此类隐患的存在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值