面向开发人员的传统SAST工具
常常会面临诸多窘境:
若以发现最大风险为目标,
则通常牺牲速度且存在大量误报;
若追求最小噪音和便捷体验,
则可能牺牲安全性。
是非此即彼,两害相权取其轻,
还是......?
灵脉SAST 3.3版本给出了新的解题思路
01
ROUND1:速度 or 全面?
灵脉SAST 3.3表示:
小孩子才做选择,成年人全都要!
FULL / 全面
API分析?信创?合规?苹果生态系统?
灵脉SAST 3.3版本统统拿下!
01**.** API安全场景
灵脉SAST 3.3版本新增代码级API安全检测能力,用户在检测源代码质量缺陷和安全缺陷的同时即可获取API风险分析结果。
基于用户上传的源代码,灵脉SAST可以分析API的端点路径、方法和参数等信息,并将检测结果与API进行关联;支持对API中的参数进行分析,可醒目标注敏感参数。
02**.** 信创及高可用场景
灵脉SAST 3.3版本新增支持ARM CPU架构、国产数据库OceanBase适配,同时支持容器化及k8s部署,适配条件更丰富,满足信创需求。
03**.** 合规场景
灵脉SAST 3.3版本在覆盖检测规则共7000+的基础上,Java检测规则增加140+,C/C++检测规则增加120+,包括GJB 8114-2013、MISRA C 2012 等,整体覆盖率行业领先,深度适配军工、汽车等不同行业用户的合规场景需求。
04**.** 苹果生态操作系统场景
灵脉SAST 3.3版本进一步优化支持了Swift语言检测功能,满足iOS、macOS应用研发场景下的代码安全检测和缺陷检测需求。
FAST / 速度
01**.** 新增Java制品快速检测
在已有源代码快速检测的基础上,灵脉SAST 3.3版本针对Java制品检测新增“快速扫描”模式,通过轻量检测引擎,实现快捷的字节码检测流程,满足日常缺陷检测的需求。
02**.** 敏捷集成三大扩展
灵脉SAST 3.3版本扩展集成多个集成管理平台、IDE插件、CI/CD插件,无缝融入开发团队的工作流程中,开发人员无需离开原有的CI/CD体系即可在整个SDLC过程中实现自动化安全测试,从而加快发现和修复缺陷的速度。
**a.**新增通用Git配置,可基于多种 Git 托管平台,配置通用且灵活。
**b.**新增Eclipse和Visual Studio Code 插件,丰富开发环境的应用场景,减少切换工具的成本和时间。
**c.**升级Jenkins插件,支持C/C++的编译检测;
**d.**优化蓝鲸插件,更新“超危”缺陷的配置及检测统计;
**e.**新增Gitlab-CI脚本,丰富持续集成的应用场景,提升团队的开发效率和整体代码质量。
01
ROUND2:检出率 or 误报率?
灵脉SAST 3.3表示:
我选择精准检出!
灵脉SAST 3.3全新版本引擎运用构建捕获技术、指向分析、Lambda表达式等技术,综合提升检测精度,不影响检出率的同时大大减少误报。
01**.** 构建捕获
抽象语法树(Abstract Syntax Tree,AST)是检出源代码缺陷的重要前提,但是部分代码可能存在无法生成AST的场景。基于此,灵脉SAST针对C/C++语言任务,新增基于构建捕获技术的检测流程:通过构建捕获工具,可以对源代码生成一个中间结果,并对构建捕获中间结果进行检测,以进一步提升检测的准确性。
02**.** 指向分析
指向分析能力可以在分析时推断变量真实引用的对象,这将解决大部分SAST工具在分析程序多态、对象字段跟踪不准确的问题,从而提高检测精度、优化程序和检测潜在的错误。
如代码所示,静态分析引擎基于变量定义构建函数调用图,则输出结果为English:基于类继承分析(CHA),输出结果为English 或 French 或Chinese;基于变量分析(VTA)配合指向分析,输出结果为 French,可见指向分析能够帮助识别变量的准确类型,减少误报。
03**.** Lambda表达式支持
Lambda表达式是Java 8引入的函数式编程特性之一,结合流式编程具有很大的灵活性。灵脉SAST3.3版本可以识别和分析Lambda表达式的语法特性,并将其正确地解析为相应的抽象语法树结构,并能够追踪Lambda表达式内的值流关系,使得污点跟踪分析更为全面和准确。
如代码所示,如果没有Lambda表达式支持则只能检测出16行的缺陷。支持Lambda表达式后,可以检测出20行和24行的缺陷。
01
ROUND3:降低风险 or 易用性?
除了运用构建捕获、指向分析等上述技术提升引擎检出率和精准度外,灵脉SAST 3.3版本同样优化了用户交互体验,兼顾安全性和易用性。
01**.** 新增数据备份功能
提供数据备份机制。若系统出现故障或数据丢失等意外情况,可以帮助快速恢复数据。保障检测业务的持续性和稳定运行,减少潜在损失。
02**.** 新建任务
本地上传新增.tar、.gz格式文件上传,为打包文件提供便利。
03**.** 新增JSON、XML报告格式
查看报告方式更灵活。
04**.** 详细报告中新增缺陷标识
优化缺陷跟踪路径展示,便于快速锁定并跟进缺陷。
05**.** 新增在线下载错误日志操作
针对“检测失败”任务,新增在线下载错误日志操作,提高研发人员排查问题效率。
06**.** 新增按部门****、****项目维度统计
概览新增按部门、项目维度统计,为检测数据分析和决策提供更加全面、准确的信息。
灵脉SAST作为基于AI多模智能引擎的新一代静态代码安全扫描产品,灵脉SAST深耕技术创新赋能,从源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。
融合SCA双倍AI驱动引擎,在检测源代码质量缺陷和安全缺陷的同时,一键完成数字供应链安全审查。
与源鉴SCA深度联动实现漏洞可达性分析,漏洞检测误报率低至15%,漏报率低至13%。
覆盖30+主流开发语言、7000+检测规则,检测速度高达百万行/小时。
申请****免费试用
灵脉SAST 3.3版本
悬镜灵脉SAST是落地实践应用安全左移的基石之一,是敏捷安全工具链中前置到安全编码阶段的重要赋能环节。悬镜敏捷安全工具链作为第三代DevSecOps数字供应链安全体系中的重要能力支撑,将不断提供更智能、更可信的创新供应链安全产品服务,持续守护中国数字供应链安全。
+
**推荐阅读
**
关于“悬镜安全”
悬镜安全,起源于北京大学网络安全技术研究团队”XMIRROR”,创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。