原創(chuàng)|行業(yè)資訊|編輯:鄭恭琳|2021-02-26 14:47:38.263|閱讀 251 次
概述:靜態(tài)分析或靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具是在開發(fā)過(guò)程的最早階段發(fā)現(xiàn)代碼庫(kù)中缺陷的強(qiáng)大方法。但是,用于執(zhí)行該測(cè)試的工具是鈍器。
# 界面/圖表報(bào)表/文檔/IDE等千款熱門軟控件火熱銷售中 >>
相關(guān)鏈接:
靜態(tài)分析或靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具是在開發(fā)過(guò)程的最早階段發(fā)現(xiàn)代碼庫(kù)中缺陷的強(qiáng)大方法。但是,用于執(zhí)行該測(cè)試的工具是鈍器。
SAST工具提供了直接用于工具的數(shù)據(jù)量。我認(rèn)為它是SOOT。
調(diào)查結(jié)果需要審核或?qū)彶椤6医?jīng)常是從一個(gè)人那里手動(dòng)分類。即使是出于善意,人類也無(wú)法跟上步伐,而且往往不知所措。
由于它提供的信息量很大,工程師最終只是錯(cuò)過(guò)了靜態(tài)分析工具發(fā)現(xiàn)的一些最重要的漏洞,因?yàn)檫@些缺陷隱藏在所有噪聲(或SOOT)中。
沒(méi)有任何額外的過(guò)程,開發(fā)人員將獲得大量靜態(tài)分析結(jié)果,但是他們不知道該把精力集中在哪里。發(fā)現(xiàn)的違規(guī)數(shù)量如此之大,以至于忽略和修復(fù)問(wèn)題一樣有用。
在篩選此類SOOT數(shù)據(jù)時(shí),您試圖找到有意義的信息-您可以處理和精煉的菱形。但這僅占您數(shù)據(jù)的10%。當(dāng)您嘗試減少噪聲量(也稱為假陽(yáng)性比率)時(shí)會(huì)出現(xiàn)麻煩。為了消除錯(cuò)誤的讀數(shù),您需要一個(gè)可以輕松調(diào)整和配置用于特定環(huán)境的工具,同時(shí)降低對(duì)人工智慧和監(jiān)督的依賴。
誤報(bào)的發(fā)生可能有多種原因。要了解有關(guān)誤報(bào)及其可能造成的混亂的更多信息,請(qǐng)閱讀《靜態(tài)代碼分析中的誤報(bào)》。
所有SAST工具都始于您選擇正確的檢查器集和配置,以與各種類型的代碼庫(kù)(包括舊代碼)一起正常工作,并指定違例嚴(yán)重性和缺陷分類。
正確的設(shè)置是基于安全準(zhǔn)則,可能的法規(guī)以及您在現(xiàn)場(chǎng)遇到或預(yù)期會(huì)發(fā)生的問(wèn)題之類的。然后進(jìn)行配置以考慮您的框架,上下文,舊代碼等,有助于產(chǎn)生更有用的結(jié)果。這些檢查程序通常具有基本的默認(rèn)嚴(yán)重性,以簡(jiǎn)化優(yōu)先級(jí)。
利用本地代碼,構(gòu)建,編碼樣式和框架的上下文,您可以自定義系統(tǒng)中的規(guī)則和配置,以定義靜態(tài)分析工具將報(bào)告的值和閾值。Parasoft通過(guò)使用風(fēng)險(xiǎn)模型來(lái)完善您應(yīng)關(guān)注的領(lǐng)域來(lái)超越此范圍。
使用風(fēng)險(xiǎn)模型
風(fēng)險(xiǎn)模型提供了一種客觀的方法,可以幫助確定代碼缺陷的可利用性,弱點(diǎn),普遍性和可檢測(cè)性的影響。以及它可能對(duì)應(yīng)用程序產(chǎn)生什么樣的影響。結(jié)果是要確保能夠優(yōu)先考慮易于發(fā)現(xiàn)和利用的漏洞的更大范圍。通過(guò)結(jié)合嚴(yán)重性模型和風(fēng)險(xiǎn)模型,Parasoft工具可以確定問(wèn)題的嚴(yán)重程度,同時(shí)提供建議的措施。
使用Parasoft靜態(tài)代碼分析工具,您將獲得一個(gè)解決方案,該解決方案可挖掘大量靜態(tài)分析結(jié)果,從而為您提供希望作用的希望鉆石大小的珠寶。通過(guò)在相關(guān)風(fēng)險(xiǎn)的上下文中考慮嚴(yán)重性的概念,Parasoft工具可以應(yīng)用來(lái)自行業(yè)標(biāo)準(zhǔn)安全模型(如CERT,CWE或OWASP)的數(shù)據(jù),并將其直接帶入報(bào)告和分析儀表板。
通過(guò)考慮多種風(fēng)險(xiǎn)模型,我們可以將上下文注入您的靜態(tài)分析結(jié)果中,從而使您可以專注于大型鉆石,而無(wú)需手動(dòng)濾除所有煙灰,而不必?fù)?dān)心您可能遺漏了什么(假陰性)。
通過(guò)利用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)技術(shù),Parasoft靜態(tài)分析工具可以識(shí)別所有發(fā)現(xiàn)的違規(guī)現(xiàn)象之間的熱點(diǎn)和交集,因此您可以將精力集中在代碼庫(kù)中,這是造成許多違規(guī)的根本原因其他問(wèn)題。更好的是,ML監(jiān)視并學(xué)習(xí)您自己的開發(fā)團(tuán)隊(duì)的行為,以區(qū)分重要和不重要。
根據(jù)開發(fā)團(tuán)隊(duì)的歷史行為來(lái)訓(xùn)練您的AI模型,可對(duì)發(fā)現(xiàn)進(jìn)行多維分析,而ML則對(duì)數(shù)據(jù)進(jìn)行聚類以識(shí)別相關(guān),相關(guān)或相似的違規(guī)行為。結(jié)合這兩種技術(shù),您可以獲得更好的結(jié)果。可以了解到哪些假陽(yáng)性結(jié)果可以忽略,哪些真陽(yáng)性結(jié)果可以突出顯示,從而可以將大量信息縮減為幾顆非常有價(jià)值的鉆石。
例如,靜態(tài)分析可以揭示典型代碼庫(kù)中成千上萬(wàn)的違規(guī)情況,盡管您可能能夠識(shí)別出數(shù)百個(gè)要解決的缺陷,但您將無(wú)法在所有時(shí)間內(nèi)修復(fù)所有問(wèn)題。通過(guò)AI和ML查找違規(guī)熱點(diǎn),您可以通過(guò)識(shí)別導(dǎo)致所有問(wèn)題的單個(gè)代碼來(lái)同時(shí)修復(fù)多個(gè)缺陷。
培訓(xùn)人們使用靜態(tài)分析工具通常被視為一個(gè)問(wèn)題。它需要對(duì)特定的編程語(yǔ)言有深刻的了解才能獲得最大的收益。因此,Parasoft靜態(tài)分析解決方案具有集成的培訓(xùn),教育和認(rèn)證計(jì)劃,可幫助您的開發(fā)人員快速掌握最新情況,從而可以最大程度地減少報(bào)告的誤報(bào)次數(shù),并將他們的工作重點(diǎn)放在重要的工作上,而不是編寫代碼通過(guò)警告。
通過(guò)減少無(wú)關(guān)結(jié)果的數(shù)量,該工具的采用率將提高。只需培訓(xùn)您的團(tuán)隊(duì),他們便無(wú)需進(jìn)行任何挖掘即可獲取所需的信息。如果您給開發(fā)人員提供三項(xiàng)要解決的事情,這些事情顯然是高度優(yōu)先和真實(shí)的,那么您獲得的采用要好于為他們提供300次違規(guī)行為,而僅解決30個(gè)值得解決的缺陷。而且,如果他們的手干凈了,他們會(huì)很樂(lè)意一次又一次地使用該工具。它是值得信賴的顧問(wèn)和工具,而不是上面令人討厭的過(guò)程。
無(wú)論您的靜態(tài)分析有多少自動(dòng)化,總會(huì)有手動(dòng)分類的元素。問(wèn)題是,在找到有價(jià)值的東西之前,您必須走多遠(yuǎn)。但是,借助包含風(fēng)險(xiǎn)元數(shù)據(jù)的工具以及配備了AI和ML的工具,可以更加有效地發(fā)現(xiàn)和修復(fù)缺陷,您可以在軟件開發(fā)生命周期開始時(shí)快速解決違規(guī)問(wèn)題,以構(gòu)建安全可靠的軟件。
掌握貿(mào)易的SAST工具
找出最重要的違反AI和ML的行為
使SAST培訓(xùn)輕松愉快
總結(jié)
本站文章除注明轉(zhuǎn)載外,均為本站原創(chuàng)或翻譯。歡迎任何形式的轉(zhuǎn)載,但請(qǐng)務(wù)必注明出處、不得修改原文相關(guān)鏈接,如果存在內(nèi)容上的異議請(qǐng)郵件反饋至chenjj@ke049m.cn