长亭百川云 - 文章详情

SAST 3.x系列 | 灵脉SAST 3.3版本兼备全面和速度,卷出新境界!

悬镜安全

53

2024-07-13

面向开发人员的传统SAST工具

常常会面临诸多窘境:

若以发现最大风险为目标,

则通常牺牲速度且存在大量误报;

若追求最小噪音和便捷体验,

则可能牺牲安全性。

是非此即彼,两害相权取其轻,

还是......?

灵脉SAST 3.3版本给出了新的解题思路

01

ROUND1:速度 or 全面?

灵脉SAST 3.3表示:

小孩子才做选择,成年人全都要!

  FULL  /  全面  

API分析?信创?合规?苹果生态系统?

灵脉SAST 3.3版本统统拿下!

01**.** API安全场景

灵脉SAST 3.3版本新增代码级API安全检测能力,用户在检测源代码质量缺陷和安全缺陷的同时即可获取API风险分析结果。

基于用户上传的源代码,灵脉SAST可以分析API的端点路径、方法和参数等信息,并将检测结果与API进行关联;支持对API中的参数进行分析,可醒目标注敏感参数。

02**.** 信创及高可用场景

灵脉SAST 3.3版本新增支持ARM CPU架构、国产数据库OceanBase适配,同时支持容器化及k8s部署,适配条件更丰富,满足信创需求。

03**.** 合规场景

灵脉SAST 3.3版本在覆盖检测规则共7000+的基础上,Java检测规则增加140+,C/C++检测规则增加120+,包括GJB 8114-2013、MISRA C 2012 等,整体覆盖率行业领先,深度适配军工、汽车等不同行业用户的合规场景需求。

04**.** 苹果生态操作系统场景

灵脉SAST 3.3版本进一步优化支持了Swift语言检测功能,满足iOS、macOS应用研发场景下的代码安全检测和缺陷检测需求。

   FAST / 速度   

01**.** 新增Java制品快速检测

在已有源代码快速检测的基础上,灵脉SAST 3.3版本针对Java制品检测新增“快速扫描”模式,通过轻量检测引擎,实现快捷的字节码检测流程,满足日常缺陷检测的需求。

02**.** 敏捷集成三大扩展

灵脉SAST 3.3版本扩展集成多个集成管理平台、IDE插件、CI/CD插件,无缝融入开发团队的工作流程中,开发人员无需离开原有的CI/CD体系即可在整个SDLC过程中实现自动化安全测试,从而加快发现和修复缺陷的速度。

**a.**新增通用Git配置,可基于多种 Git 托管平台,配置通用且灵活。

**b.**新增Eclipse和Visual Studio Code 插件,丰富开发环境的应用场景,减少切换工具的成本和时间。

**c.**升级Jenkins插件,支持C/C++的编译检测;

**d.**优化蓝鲸插件,更新“超危”缺陷的配置及检测统计;

**e.**新增Gitlab-CI脚本,丰富持续集成的应用场景,提升团队的开发效率和整体代码质量。

01

 ROUND2:检出率 or 误报率?

灵脉SAST 3.3表示:

我选择精准检出!

灵脉SAST 3.3全新版本引擎运用构建捕获技术、指向分析、Lambda表达式等技术,综合提升检测精度,不影响检出率的同时大大减少误报。

01**.**  构建捕获

抽象语法树(Abstract Syntax Tree,AST)是检出源代码缺陷的重要前提,但是部分代码可能存在无法生成AST的场景。基于此,灵脉SAST针对C/C++语言任务,新增基于构建捕获技术的检测流程:通过构建捕获工具,可以对源代码生成一个中间结果,并对构建捕获中间结果进行检测,以进一步提升检测的准确性。

02**.**  指向分析

指向分析能力可以在分析时推断变量真实引用的对象,这将解决大部分SAST工具在分析程序多态、对象字段跟踪不准确的问题,从而提高检测精度、优化程序和检测潜在的错误。

如代码所示,静态分析引擎基于变量定义构建函数调用图,则输出结果为English:基于类继承分析(CHA),输出结果为English 或 French 或Chinese;基于变量分析(VTA)配合指向分析,输出结果为 French,可见指向分析能够帮助识别变量的准确类型,减少误报。

03**.** Lambda表达式支持

Lambda表达式是Java 8引入的函数式编程特性之一,结合流式编程具有很大的灵活性。灵脉SAST3.3版本可以识别和分析Lambda表达式的语法特性,并将其正确地解析为相应的抽象语法树结构,并能够追踪Lambda表达式内的值流关系,使得污点跟踪分析更为全面和准确。

如代码所示,如果没有Lambda表达式支持则只能检测出16行的缺陷。支持Lambda表达式后,可以检测出20行和24行的缺陷。

01

 ROUND3:降低风险 or 易用性? 

除了运用构建捕获、指向分析等上述技术提升引擎检出率和精准度外,灵脉SAST 3.3版本同样优化了用户交互体验,兼顾安全性和易用性。

01**.** 新增数据备份功能

提供数据备份机制。若系统出现故障或数据丢失等意外情况,可以帮助快速恢复数据。保障检测业务的持续性和稳定运行,减少潜在损失。

02**.** 新建任务

本地上传新增.tar、.gz格式文件上传,为打包文件提供便利。

03**.** 新增JSON、XML报告格式

查看报告方式更灵活。

04**.** 详细报告中新增缺陷标识

优化缺陷跟踪路径展示,便于快速锁定并跟进缺陷。

05**.** 新增在线下载错误日志操作

针对“检测失败”任务,新增在线下载错误日志操作,提高研发人员排查问题效率。

06**.** 新增按部门****、****项目维度统计

概览新增按部门、项目维度统计,为检测数据分析和决策提供更加全面、准确的信息。

灵脉SAST作为基于AI多模智能引擎的新一代静态代码安全扫描产品,灵脉SAST深耕技术创新赋能,从源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。

  • 融合SCA双倍AI驱动引擎,在检测源代码质量缺陷和安全缺陷的同时,一键完成数字供应链安全审查。

  • 与源鉴SCA深度联动实现漏洞可达性分析,漏洞检测误报率低至15%,漏报率低至13%。

  • 覆盖30+主流开发语言、7000+检测规则,检测速度高达百万行/小时。

申请****免费试用

灵脉SAST 3.3版本

悬镜灵脉SAST是落地实践应用安全左移的基石之一,是敏捷安全工具链中前置到安全编码阶段的重要赋能环节。悬镜敏捷安全工具链作为第三代DevSecOps数字供应链安全体系中的重要能力支撑,将不断提供更智能、更可信的创新供应链安全产品服务,持续守护中国数字供应链安全。

**推荐阅读
**

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队”XMIRROR”,创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2