代码安全审计实践

最新推荐文章于 2024-07-10 09:27:38 发布
最新推荐文章于 2024-07-10 09:27:38 发布
阅读量903 收藏 2
点赞数
分类专栏: 也谈技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wurenhai/article/details/112369174
版权

代码安全审计实践

2020年安全相关的事务变多了,也因此更注重安全合规相关的工作了。其中代码安全审计是安全开发生命周期(SDL)中重要的内容,这一年中也正好负责这块的相关工作,这边做个小结。

代码安全审计的内容

通常关于代码的安全问题有两类:

  • 源码安全分析:通过对源代码进行审查,找出并修复代码中的各种可能影响系统安全的潜在风险,通过提高代码的自身质量,达到降低系统风险的目的。往往由于代码量大,代码安全审计一般会借助静态分析类工具,对代码进行自动检测,产生代码安全审计报告。

  • 第三方依赖包安全:扫描应用程序(及其依赖库),执行检查时会将漏洞数据库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息,然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。

常见漏洞库

  • 美国
    • 赛门铁克的漏洞库 https://www.securityfocus.com/
    • 美国国家信息安全漏洞库 https://nvd.nist.gov/
    • 全球信息安全漏洞指纹库与文件检测服务 http://cvescan.com
    • 美国著名安全公司Offensive Security的漏洞库https://www.exploit-db.com/
    • CVE(美国国土安全资助的MITRE公司负责维护) https://cve.mitre.org/
  • 工控类
    • 美国国家工控系统行业漏洞库 https://ics-cert.us-cert.gov/advisories
    • 中国国家工控系统行业漏洞:http://ics.cnvd.org.cn/
  • 国内:
    • 中国国家信息安全漏洞共享平台(由CNCERT维护): http://www.cnvd.org.cn
    • 国家信息安全漏洞库(由中国信息安全评测中心维护):http://www.cnnvd.org.cn/
    • 绿盟科技-安全漏洞:http://www.nsfocus.net/index.php?act=sec_bug

代码安全审计的工具

源代码安全分析

源代码安全分析的核心在于分析挖掘代码中的内部逻辑关系,从而发现其存在的漏洞;同时进一步尽力发掘设计、运行时逻辑中存在的问题。其主要的思路为:
代码原始信息提取
代码内部逻辑关系分析
漏洞特征分析
漏洞检测判定

源代码安全分析应有两个方向:

  • 针对源代码的审计:
    基于源代码的静态扫描,没有中间文件生成。主要通过收集数据流,生成dom节点,根据上下语义进行分析。
    针对源代码的审计的主要特点为可以不需要编译,直接分析出源代码的漏洞。主要的代表为:Checkmax。
  • 针对二进制代码的审计:
    依赖构建编译的文件,主要的分析技术为:内存建模,符号执行,数据流,路径裁剪等。
    针对二进制代码的审计需要依赖构建环境。主要的代表为:Sonar。

当然也有厂商采用两者结合的方案,比如:Fortify。

第三方依赖包安全分析

第三方依赖包安全检查用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)美帝国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息,然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。

对于第三方依赖包的检测,比较常用的是OWASP(Open WebApplication Security Project)的开源项目,主要有两个:

  • DependencyCheck:
    开发团队使用的工具,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。主要针对单个项目。支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。同时支持和许多主流的软件进行集成,比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar等。
    官网:https://owasp.org/www-project-dependency-check/
  • DependencyTrack:
    安全团队使用的工具,实现第三方组件的安全统一管理。
    官网:https://dependencytrack.org/

代码安全审计的落地

关于代码安全审计,主要的问题在于:误报、漏报。一般情况下,代码审计工具采用清洗、以及自定义规则的方式,应对上述问题。

自定义漏洞规则
自定义清洗规则
代码
初步漏洞报告
漏洞报告

因此,在实际代码安全审计操作过程中,主要在于在实践中不断的:

  1. 调整自定义漏洞规则,以完善漏洞库;
  2. 调整自定义清洗规则,以减少误报率;

通常在初步引入代码安全审计时,通常:

  • 先适当的选择部分的工程,能过这批次的工程,调整漏洞规则、清洗规则,得到可接受的工程落地结果;
  • 而后适当的增加工程,不断重复上述的步骤,直到所有的工程都进行代码审计为止;

按介绍经验,预计上述步骤需要经历半年到一年的时间,才能完成代码审计工具的引入。

参考文档

  • https://github.com/dependency-check-team/dependency-check
  • https://www.microfocus.com/zh-cn/products/static-code-analysis-sast/overview
  • https://docs.sonarqube.org/latest/
陀罗犬穆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码安全审计之道
有价值炮灰
01-24 1073
代码审计是每个安全研究员都应该掌握的技能。但是网上对于代码审计的介绍文章却比较匮乏。因此本文一方面作为 *The Art of Software Security Assessment* 一书的阅读笔记,另一方面也结合自己日常工作的经验总结,希望能国内的安全研究员有个抛砖引玉的帮助。
探秘二进制审计训练包:Binary-Auditing-Training-Package
gitblog_00018的博客
06-06 248
探秘二进制审计训练包:Binary-Auditing-Training-Package 项目地址:https://gitcode.com/Info-security/binary-auditing-training 1. 项目介绍 在安全领域的深度学习中,对二进制文件的审计是一项至关重要的技能。Binary-Auditing-Training-Package 是一个专门为开发者和安全研究人员设计的...
代码审计指南
HAOYIFAN961229的博客
11-05 606
在了解这些功能的存在形式后,可以先寻找经常会出问题的功能点,简单黑盒测试一下,如果没有发现很普通、很常见的漏洞,再去读这个功能的代码,这样读起来就可以略过一些刚才黑盒测试过的点,提高审计速度。前面提到的根据敏感关键字来回溯传入的参数,是一种逆向追踪的思路,我们也提到了这种方式的优缺点,实际上在需要快速寻找漏洞的情况下用回溯参数的方式是非常有效的,但这种方式并不适合运用在企业中做安全运营时的场景,在企业中做自身产品的代码审计时,我们需要了解整个应用的业务逻辑,才能挖掘到更多更有价值的漏洞。
代码审计总结
热门推荐
m0_48907714的博客
04-29 1万+
代码审计流程、代码审计流程、代码审计实操、代码审计提升
代码安全审计
m0_56632799的博客
02-10 990
代码安全审计
如何开展代码安全审计
weixin_56018002的博客
04-20 727
代码安全审计是指对软件代码进行全面、系统性的分析和检测,以发现其中可能存在的安全漏洞或风险,并提出改进建议的过程。通过检查代码中的逻辑错误和漏洞,如权限控制、输入验证、数据保护、错误处理等,提升应用程序的稳定性和可用性,减少意外的异常情况和系统崩溃的风险。开展代码安全审计的主要作用是帮助发现和修复软件应用程序中存在的各种安全隐患和漏洞,从而降低安全风险,提高系统的安全性。通过对代码安全审计,开发者可以更好地了解有关代码安全的最佳实践,并避免在将来的开发过程中再次犯同样的错误。
代码安全审计工具推荐
煜铭2011
05-07 1万+
0×00 简介企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。0×01 代码安全审计概述以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。http://www.freebuf.com/sec...
代码安全审计大全
梦想之始
08-10 967
0×00   简介     企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。 0×01 代码安全审计概述 以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。 http://www.freebuf...
初识代码审计
最新发布
JoshuaBC3026的博客
07-10 560
代码审计(Code Audit)是一种以发现安全漏洞、程序错误和程序违规为目标的源代码分析技能。在实践过程中,通过人工审查或者自动化工具,对程序源代码进行检查和分析,发现源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
代码 审计
m0_51428325的博客
04-30 2642
一、代码审计 1.1什么是代码审计? 软件代码审计是对软件解决方案或产品中的源代码的全面分析。它被认为是安全过程中最关键的阶段之一,因为它用于验证代码的成熟度和可维护性,同时确保产品已准备好进行无缝切换。 1.2为什么要执行代码审核? 1. 熟悉当前的项目结构和功能 2. 发现现有和潜在的错误 3. 发现安全漏洞和漏洞 4. 验证当前性能和可扩展性 5. 评估代码可维护性级别以及相关的风险和成本 6. 验证是否符合相关的软件开发标准、指南和最佳实践 1.3代码审计的好处 1. ...
代码安全审计及相关服务内容概述
12-31
\5765617_20170425102412196.pdf 可能是一份详细的代码安全审计报告或教程,包含了具体的审计方法、案例分析和最佳实践。 \no.txt 文件可能是审计过程中记录的临时文件或不相关的文本信息,具体内容需查看后才能...
php代码审计入坑实践.pdf
07-30
《PHP 代码审计入坑实践》是一篇针对初学者的指南,旨在介绍如何开始进行PHP代码安全审计。本文主要利用了RIPS等工具,通过实际操作来帮助新手逐步理解代码审计的过程。 首先,文章提到了“场景”,这可能是指...
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的指导书籍,共计247页。这本书旨在帮助开发者、安全工程师以及IT专业人员理解和实施有效的代码审计策略,以保障Web应用程序的安全性。...
代码审计与Web安全实验合集
06-16
这个压缩包包含四个实验文档,分别是实验一、实验二、实验三和实验四,每一份文档都详细讲解了不同的主题,旨在帮助学生深入理解和实践代码安全的相关知识。 一、代码审计 代码审计是软件开发过程中的关键环节,它...
代码审计资料整理——新手学习
10-13
"LAMP安全审计之PHP代码审计_paper.pdf",LAMP(Linux, Apache, MySQL, PHP)是常见的Web开发环境,这份论文可能详细介绍了PHP代码审计的流程和技术,对于PHP初学者而言,这是深入理解PHP安全的关键。 "小脚本,大...
GWT学习笔记(四)
一个梦想(I Have a dream)
06-30 2743
    嗯,这两周都在做GWT1.4的开发,用GWT中的国际化支持部份的比较多。所以这次想讲讲GWT中的车际化支持部分。其实,我也觉得我那组长说得没错,说国际化支持,应该有两个部分的,一部份就是界面提示,能够用多种语言来显示,另外一个部分是你自己本身的程序中的数据,要支持多种语言来显示。当然GWT做的国际化支持,只是帮你做了前台部分的多种语言支持的方案,程序本身的数据国际化还是要自己想办法做的。不
研发效能之我见
一个梦想(I Have a dream)
09-28 2039
本文主要介绍研发效能相关的目标选取,且围绕建设高速、高质量的交付系统,做一个简单的说明。
XML学习笔记(二)
一个梦想(I Have a dream)
08-07 1766
 l         Quality Control,只看了DTD、Schema DTD定义的主要有ELEMENT(元素)、ATTLIST(元素的属性),ENTITY(这个没用过),NOTATION(没用过)。可用来表示1 个或多个(还有零个或一个用“?”,零个或多个用“*”。属性中可以用“#REQUIRED”,“#IMPLITED”表示必需或可选等(还可以用“#FIXED 3”表示省缺为
安全开发实践安全编码与代码审计策略
安全编码旨在通过遵循特定的规则和最佳实践降低安全漏洞的产生,而代码审计则是对已完成的代码进行审查,以识别潜在的安全风险。 首先,安全编码的基本理念是在软件开发初期就考虑安全问题,因为早期发现和修复...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值