各位SDL/DevSecOps/安全测试工程师、白帽子、大黑客以及关注应用安全的同行们,你们好。
今天我们将发布我们核心SAST产品Corax的免费社区版。
01
先说些废话
熟悉我们的朋友都知道,在过去的十年间我们团队一直致力于软件安全方向的技术研究。虽然从很久之前开始,软件安全就是一个“过时”、“老套”、“传统”的技术领域,它看上去并没有AI安全、零信任、XDR、隐私计算这些名词来的exciting。但是我们多年的一线攻防经验告诉我们,**只要人类还在生产软件,只要软件中还存在漏洞,那么软件安全就永远会是整个网络安全体系的基石之一。**它的确很枯燥,很朴素,但是它很重要。
所以,当四年前我们离开高校,投身到网络安全创业的浪潮中时,我们仍然选择了软件安全这个“传统”方向,并且选择了静态代码分析这个公认技术壁垒最高的产品类型。在过去一直使用国外工具的我们,希望能够尽一些绵薄之力推动静态分析技术的发展,填补国内的产业空白。
经过这几年的摸爬滚打,距离Corax第一次交付给客户也已经过去了一年多,我们收获了一批信任我们的客户和合作伙伴,获得了很多用户的认可,这些都是我们前行路上最好的激励。但是这还远远不够,在我们看来,Corax距离世界一流产品还有很大的差距,我们希望自己的产品获得更多的认可,我们也希望迎接更大的挑战,我们需要更多的建议和鞭策。
所以今天我们发布了Corax的****免费社区版,希望能够有更多的人来使用它。
在做出这个决定之初,我们也有过很多的顾虑,免费版是不是会影响产品的销售?会不会泄露我们的核心技术?但是说服我们的是一颗希望做出世界级产品的初心,这是蜚语科技最底层的逻辑和价值观。
不忘初心,方得始终。
02
Corax社区版
废话少说,言归正传。Corax社区版目前支持的编程语言为Java,与Corax商业版共用同一套Java分析引擎,具备与Corax商业版一致的底层Java代码分析能力。
Corax社区版中我们选择并开源了商业版规则库中较常使用和具备较高精确度的若干条高危漏洞检测规则。Corax社区版同时也支持规则的自定义,我们开源了相关的规则解析模块和默认规则集,并提供详尽的说明文档,帮助用户完成自定义规则的编写。
我们对Corax社区版的定位是一款足够好用的cli工具,提供高精度的分析能力。因此我们剥离了Corax商业版中的管理功能,你可以在完全离线的情况下使用Corax社区版。Corax社区版接收待分析的java代码/jar包作为输入,输出标准的sarif格式的分析结果,可以方便的集成至各类研发流水线中。
Corax社区版具备以下的技术特点:
融合污点分析、路径敏感、抽象解释、IFDS求解、稀疏分析等程序分析技术,提供高效、精确、可扩展的底层分析能力。
支持修改配置文件来有限自定义规则。
支持使用Kotlin/Java来编写完全自定义规则。
支持在无源码情况下以Java字节码作为分析对象。
标准化sarif格式输出。
更多的技术细节请参考我们github上的说明文档。
Corax社区版的License不限制使用方式,这意味着你可以在任何的场景下使用它,包括在企业内部使用。我们希望Corax社区版能够在以下几个场景下为你提供帮助:
从零开始构建初步的代码分析能力,对高危漏洞进行检测管控。
与现有SAST工具互相配合,补全短板,提升分析的精确性与完备性。
作为一个独立分析模块嵌入现有DevSecOps流程中。
为其他类型的应用安全工具提供代码分析能力支撑,提升整体DevSecOps能力。
在无源码情况下进行漏洞挖掘。
Corax社区版将会与Corax商业版保持同样的更新频率,我们会持续完善这个工具。这是我们第一次做社区版工具,还不是很熟练
,欢迎大家给我们提意见。
你可以通过以下地址来获取Corax社区版的可执行文件、源代码和文档:
https://github.com/Feysh-Group/corax-community
最后,欢迎通过以下方式向我们提交bug和需求:
通过github issue
发送邮件至bug@feysh.com
加入我们的微信/飞书交流群(见下方二维码)
END
题图由Midjourney生成
prompt: a robotic corax standing on a branch, branch extend to the right part of the image, style of dark azure, stick figure--ar 16:9
了解更多
Corax是由蜚语安全自主研发的代码安全分析平台 ,不同于传统基于模式匹配的静态代码分析产品,Corax通过引入符号执行、函数摘要、污点分析、路径可达性分析、数据流分析、NLP、LLM等前沿的程序分析和人工智能技术增强了自身在处理程序语义信息上的能力,Corax对于代码的建模与分析更加精准高效。能够准确快速的帮助企业解决代码质量与代码安全问题。
Corax采用了模块化的设计理念,更加贴合云原生场景下的现代研发体系,能够方便的嵌入研发流水线的各个环节。通过在研发流程中引入Corax的分析能力,企业能够获得代码安全、代码质量、代码可视化、代码防护等多个方面的研发效能提升。
❖
蜚语安全是一家专注于提供软件供应链安全创新解决方案的网络安全企业,成立于2019年。蜚语安全孵化自上海交通大学计算机系,创始团队由4名博士组成,拥有十数年的前沿安全研究和一线安全业务经验。蜚语安全扎根左移安全开发赛道,深耕企业安全服务市场,以自动化程序分析技术为核心,致力于探索软件供应链安全的新场景和新边界。蜚语安全现已完成多轮融资,服务于众多世界500强、高科技与互联网公司。得益于客户与资本市场的信任,蜚语安全正处在快速增长之中。