悬镜灵脉IAST白盒安全测试平台_交互式应用安全测试系统

悬镜灵脉IAST白盒安全测试平台

悬镜灵脉IAST白盒安全测试平台作为悬镜DevSecOps智适应威胁管理体系中的新型威胁发现平台,灵脉SAST通过自研代码分析引擎,能够高效地检测发现代码中的质量缺陷(Safety)和安全缺陷( Security),既能够发现开发人员常见的安全编码规范缺陷，又能够发现具有更高风险且可能被利用的安全漏洞,确保开发团队交付高质量的应用软件,悬镜灵脉 SAST是实现安全左移的落地工具之一,也是敏捷安全中的重要一环。

立即咨询

SAST技术的应用

为了能够在软件编码阶段,就能及时发现并修复软件漏洞和缺陷,安全研究人员提出一种静态分析技术一SAST (静态应用程序安全测试, Static Application Security Testing)。SAST技术能够在程序编码阶段分析应用程序的源代码或二进制/字节码文件的语法、结构、过程和接口等来发现程序代码存在的安全缺陷和质量缺陷。某种意义.上来讲, SAST是真正在研发生命周期早期发现代码缺陷的一种分析技术,通常也称之为“白盒”或“静态”分析技术。

100%代码覆盖率
比动态测试更容易实现代码覆盖率,可以覆盖程序代码的每 -个分支和路径;

提升开发效率
静态安全测试可以提供引入错误的精确位置,包括文件、函数/ 方法、代码行等精确错误定位信息。在集成开发环境中让开发人员更易于操作和使用;

较少修复成本
开发人员在开发生命周期的早期使用静态分析,包括直接从IDE 中对单个文件进行分析,能够大幅度降低修复成本,真正实现安全左移。

产品简介

悬镜DevSecOps智适应威胁管理体系中的新型威胁发现平台,灵脉SAST通过自研代码分析引擎,能够高效地检测发现代码中的质量缺陷(Safety) 和安全缺陷( Security),既能够发现开发人员常见的安全编码规范缺陷,又能够发现具有更高风险且可能被利用的安全漏洞,确保开发团队交付高质量的应用软件,悬镜灵脉 SAST是实现安全左移的落地工具之一,也是敏捷安全中的重要一环。

技术原理

01
首先通过调用编译器生成器对被检测程序进行词法分析,词法分析采用正则表达式进行表达,将程序代码的字符序列按照一定的规则分割为一系列的记号 (tokens)。

02
然后针对token进行词法分析,采用上下文无关文法表达,生成抽象语法树AST( Abstract Syntax Trees)。

03
对AST进行语义分析,进行类型检查和语法检查等基本分析,用于快速分析不安全函数及方法等，通过规范编码模式避免产生潜在的程序缺陷。

04
基于AST进一步分析语义,并转换为多种IR(Intermediate Representation,中间表示),由专门的检查器来匹配特征。即该代码与目标机器和运行环境无关,在不实际被执行的前提下，将其源代码之间的调用关系、执行环境、上下文等分析清楚。

05
针对IR, 结合数据流分析、控制流分析、函数调用关系进行深入分析,采用上下文敏感、流敏感和路径敏感分析技术,精确分析过程内和过程间污点传播路径, 找出安全缺陷。

核心竞争力

支持检测器类型
灵脉SAST支持质量缺陷和安全缺陷两类检测器类型。质量缺陷主要是由于不安全编码导致产生的缺陷，例如Cert Java、 ISO 17961检测集，都归属于安全编码规范范畴。安全缺陷则是指由于代码中更严重的安全风险可能被恶意利用的缺陷

检测精度高、误报低
灵脉SAST采用统一的编译生成器生成中间表示基础上进行各种分析，针对被检测程序由于缺失文件导致编译不通过情况，采用静态代码补全技术，能够在不损失精度情况下保证能够编译通过。能够通过跨文件进行方法/函数之间的调用分析，通过上下文敏感、流敏感、域敏感、路径敏感等技术，提.上检测精度, 减少误报。

多种接口方式，实现敏捷左移
灵脉SAST提供Jenkins插件、Restful API二次开发接口、IDE插件(VsCode、 ldea、Eclipse、 VSStudio) 等，通过IDE插件实现在开发环境中开发人员安全自治，与GitLab、 Coding-Cl、蓝鲸-CI等平台对接，实现DevSecOps流水线代码质量管控。

联动SCA整合软件成分分析功能
与SCA进行数据层打通，并整合软件成分分析功能整合，实现检测项目一次加载，自研代码通过SAST检测和第三方软件通过SCA功能模块检测，同时整合二者检测结果和检测报告。

重要能力

多维的检测统计分析
灵脉SAST可从多个维度分析项目检测的安全状况,包括:检测语言分布、缺陷类型分布、缺陷等级分布、安全缺陷与质量缺陷分布、OWASPTOP102021排名、缺陷总览TOP10排名、缺陷趋势统计等内容。灵脉SAST通过柱状图、饼图、折线图等形式,直观、清晰的反映检测情况,便于用户快速了解现有检测进度,并定位至常发缺陷问题。

丰富的检测能力
灵脉SAST支持Java、JavaScript、html、XML、Android Java、 Objective-C. Swift、 C/C++. C#、Python、GO、PHP、Lua等10+主流编程语言开发的软件源代码安全缺陷的检测;支持多种方式提交检测目标代码,支持配置多种检测规则模板;支持对检测消息进行实时推送，可推送至相关权限用户邮箱等平台进行消息提醒。

完善的检测项目管理
灵脉SAST支持以项目组形式进行源代码审计，支持对多部门、多项目组的团队级代码审计管理功能，以项目的维度实现缺陷从发现到分配到解决的全生命周期管理。.

个性化规则定制
灵脉SAST支持各类规则定制操作，主要包括缺陷规则清单、规则模板、函数白名单、文件路径过滤规则内容。在建立任务检测或项目检测时，可选择已维护的规则集进行检测，由此为检测工作提供便利、提高检测效率。

支持生成定制化报告
灵脉SAST支持对检测任务生成检测报告，生成格式支持PDF、Word、Excel三种;支持用户对报告的具体展示内容进行设置，包括:跟踪路径、修复建议、审计日志等内容，由此实现报告定制化需求。检测报告功能丰富、详实全面, 通过检测报告，可对每次检测情况形成总结，为后续代码优化提供辅助建议。

与外部系统的集成整合
灵脉SAST支持以下各类工具的集成配置和插件下载操作

平台优势

快速
提供快速检测能力, 95%的项目检测速度可达50万行/小时。

专业
提供从检测、人工审计、修复,全流程操作。支持多维度质量统计报表,提供概要和详细报表两种类型。

精准
精确定位缺陷,提供修复指导。检测结果精确,各语言漏报率不超过13%;误报率不超过15%。

全面
提供2800+典型缺陷检查规则。支持Java、C/C++等10+主流开发语言。支持CERT、CWE、OWASP TOP 10、CWE/SANS TOP 25等安全行业标准。

易用
支持多种语言混合检查。配置白名单方法、白名单规则集、文件过滤规则集,支持批量过滤缺陷,分级分类快速处理。

支持代码安全检查
软件开发阶段对代码质量和安全问题进行自动化检查,帮助企业软件生产安全。提供跨函数、跨文件检查能力,提供风险分析检查能力。

某金融客户应用案例

项目背景

某国有银行客户每天都完成海量支付业务,业务系统保存着用户的敏感信息,多个系统被评为较高的等保级别。截止目前,业务系统中信息泄露问题频发。针对以.上安全漏洞，客户安全管理部门门已制定安全技术规范，但由于开发人员在开发，过程中未能严格执行安全规范,导致安全漏洞反复出现。此外,在目前开发人员安全基础较弱、缺乏可靠质量保障工具的背景下，如何将应用漏洞特别是信息泄露的发现处置前置到程序编码阶段,同时高精度发现安全漏洞并快速让研发人员修复,是目前应用交付前安全审查的当务之急。

解决方案

部署灵脉SAST,对目标代码快速实现代码缺陷和漏洞审查,同时规范代码的编写标准;在不改变现有IT流程的情况下，将该平台源代码上传到灵脉SAST上通过风险跟踪和分析,帮助研发人员在编码阶段完成代码质量问题发现和修复的闭环。

某跨国收购应用案例

项目背景

某跨国企业计划收购某公司的某应用平台来强化自身的优势,在双方商谈阶段, 了解到被收购方平台源代码中存在若干其他编程语言的代码文件。考虑到该应用平台的代码质量和合规性等问题,收购方对被收购方提出要求:对该应用平台进行深入的代码安全质量审查;要求该源代码必须符合PCI规范。

解决方案

部署灵脉SAST,对目标代码程序快速实现代码缺陷和漏洞审查;通过定制化代码缺陷规则,部署PCI编码规范,将该平台源代码上传到灵脉SAST上,在对源代码进行深入安全检测的同时,完成了代码合规的审查。