来自安全牛的推荐SAST工具
随着科技的飞速发展, 络空间的主权完整和安全也成为影响国际关系的重要因素,国家之间的竞争也在由物理空间逐渐转向 络空间,国内的 络安全也面临着越来越多的风险和挑战。
根据Gartner提供的数据表示,75%的安全攻击是由软件自身漏洞造成的,针对软件漏洞的攻击已成为黑客入侵的主要方式之一,而且攻击者通过挖掘软件代码中的多个安全漏洞,形成攻击链条的不法行为,对关系到国计民生的软件系统带来了重大安全隐患。除此之外,开源文化的盛行在大幅度提升软件开发效率的同时,也增进了潜在的风险,这些开源组件中潜在的安全漏洞很可能被攻击者利用。
面对这些威胁时,传统上以“渗透测试”为主的软件安全检测手段,发现安全漏洞的覆盖率远远不足,且产品上线之前执行的渗透测试相对滞后,安全漏洞修复成本过高。因此在对开发效率和安全要求越来越高的情况下,企业组织还要面临更严峻的挑战:
-
敏捷开发快速迭代,更短的开发周期,对安全检测响应要求更高;
-
很多企业在系统上线运行之后采用加固、防火墙、WAF等措施,这些被动防御措施,只能防范已有的安全漏洞,对于未知的安全漏洞无法进行防御,导致软件仍然存在着巨大风险;
-
在研发阶段没有有效的安全检测手段,缺乏有效的检测工具,或检测工具得不到有效利用。
标签
用户痛点
目前SAST产品市场已经成熟,很多的安全厂商推出SAST类型的检测工具,形成了百花齐放、百家争鸣的情况,这对于很多企业决策者来说,带来了工具选择性的挑战,同时也存在着一些认知上的误区。主要体现在以下几点:
- SAST误 率高,对于检测出的漏洞进行复核,工作量较大; 安全漏洞描述过于专业化,让开发人员很难理解;
- 未提供直接的、代码级的修复方案,开发人员需要额外花时间寻找可行的修复方案;
- 对于中、大型以上企业往往需要对大量软件进行迭代检测,需要高并发、高可调度的方案;
- SAST工具不能够满足企业与现有流程规范的一致性;
- SAST工具集成度不够,需要花费人工时间去进行处理;
解决方案
其次, CodesSec的安全专家对CWE、OWASP等安全漏洞进行大量研究的基础上,对安全漏洞描述做了全新的描述,包括存在的风险、缓解措施、示例代码、污点轨迹跟踪、定位到代码行等描述信息,能够让开发人员快速理解漏洞的引入点、触发点,找到最佳的修复位置,排除风险。另外,开源 安能够为开发人员提供安全编码方面的培训,对检测 告提供解读服务、远程支持等附加服务,最大程度上帮助开发人员解决安全开发中的实际问题。
第三, CodeSec在检测 出的安全漏洞描述中,提供代码修复示例,能够让开发人员快速修复漏洞。同时,CodeSec团队也在研究安全漏洞自动修复技术,计划在不久的将来推出能够安全漏洞自动修复的版本,进而为代码级解决方案提供全面支撑。
用户反馈
安全牛评
“代码安全”是软件安全之“根”,而“浸入式”的代码安全是最低成本的安全解决方案。提高易用性,提高漏洞检出率,降低漏洞修改难度,修复方案的可落地性是对静态安全工具提出的严峻挑战,同时,检测能力、核心漏洞库的管理、安全规则的应用,这些方面如何减少开发者的使用成本是源码安全工具的另一个挑战。
本次牛品推荐的方案将源码检测与多种常用的开发项目管理的流程结合起来而不仅局限于对DevOps平台的集成,可以使源码级测试得到更广泛的应用,提高代码开发迭代的效率与质量。而打破传统测试的方法,将多种源码级测试能力结合起来,是开源 安的另一个优势点。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!