manok的专栏

供应链安全，静态分析

获取安全漏洞的代码特征信息是有效降低SCA误报，提升检测精度的方式之一。

OWASP与CWE的对应关系

很多SAST工具集成了FindSecBugs，这里是一些主要的检测规则。

北大软件SCA在市场上并多见，难得拿到云上版本，进行试用，一睹来自于北京大学软件工程中心的产品。

库博工具解决了不能编译就不能检测的痛点问题

MISRA C++ 2008主要是功能安全，共有规则228条。划分一级分类和二级分类，按照是否强制执行分为三个类别：文档、必要和建议。文档相当于MISRA C 2008中的指令类别，大多是一些编程要求，比较难于通过SAST技术实现。

AUTOSAR联盟于2017年3月发布了新版本的AUTOSAR标准，称为”Adaptive Platform”,中文翻译为“自适应平台” 。自适应平台的API是使用C++语言实现的，也决定了C++将成为自适应平台软件的主要开发语言。

MISRA C 2012目前已经修订了多次，最近版本是AMD2，已经支持C11标准。MISRA主要是功能安全，而CERT C/C++则更多的关注安全威胁。MISRA C 2012:AMD2总计规则数175条，其中规则158条，指令17条。其中指令基本上是无法被SAST工具所检测分析的。175条规则中强制为15条、必要规则120条、建议规则40条。

Synopsys，中文新思作为应用安全领域最强公司，一直占据gartner魔力象限的第一的位置，那么它的静态分析工具Coverity支持那些缺陷的检测呢？今天我简单整理了一下，并没有与其全部checker进行对齐，大家通过这些列出的缺陷，可以洞见新思在C/C++开发语言的缺陷检测方面下的功夫，覆盖了我们能想到，或者不能想到的很多类型缺陷。竞争条件(Race conditions)缺失的/不充分的恶意数据和字符串输入的验证。Microsoft COM内存泄漏。未初始化的指针/标量/数组读写。

前面我们介绍了Cobot、QAC、Coverity工具中的静态属性度量，今天我们了解一下Klocwork所具有的度量属性。主要包括两类，对类的度量和对方法/函数的度量。

简单来说，这些缺陷通常只有当程序执行起来以后，才能逐渐暴露出的缺陷，一般是需要在调试和运行期间发现这类缺陷，但是静态分析技术，通过区间计算、常量折叠等技术是可以通过静态扫描程序发现大部分运行时缺陷的。尤其是C、C++开发的嵌入式软件，更要关心这些缺陷，因为C/C++开发的嵌入式软件，大多数与互联网物理隔绝，安全漏洞倒是不用太过于关注，而由于程序本身缺陷导致的运行时缺陷才应该是最关注的。当初华为试用了很多款工具，通过列举了很多运行时缺陷，尤其是缓冲区溢出缺陷，看看哪家工具最强。下面我列出了常见的运行时缺陷。

Coverity不亏支持下面12个代码度量属性，相对于Cobot、testbed是比较少，但是作为一款静态分析工具，这些度量不是很多企业所看重的。但是对于有些企业则是看重这些静态度量指标的。后面我再给大家找找国内支持静态质量度量的工具。

这里我们列举了Coverity、Cobot、代码卫士、Klocwork、QAC、C++ test几款典型的SAST工具，看看他们都是支持那些C、C++标准（主要是C、C++标准，其它语言较少）呢？ 这可以作为厂商研发的方向标。

供应链安全不仅仅是开源组件安全，开源软件安全更不不容忽视

除了Java语言，C#语言之外，C、C++语言是编译器类型最多的编程语言，有几十种编译器，这些编译器方言为研发SAST工具带来了巨大的工作量，很多产品由于无法适配客户的编译器，导致无法检测。下面我们罗列一下国外和国内对C、C++最强的SAST工具，支持的编译器数量。当然Cobot的优势在于使用了代码补齐技术，在编译不通过情况下，一样可以完成检测，而很多工具，编译不通过不能进行检测，或检测结果不具有可信性。

静态分析，代码检测，源代码审计

代码审计

Checkmarx是一家以色列高科技软件公司，是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商，拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案，该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷，比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。Checkmarx使用

log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。

源代码审计，最近比较火爆，我们是创新的源代码审计课程。

源代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够，1是仅仅覆盖了C/C++、Java和C#语言；2是安全漏洞类型仅仅有43个类型，也是不够的；3另外，需要检测工具落地，结合人工复核技术，真正落实源代码审计中，对误报进行分析，对于漏报漏洞可能性进行分析。

在软件代码安全领域，是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者，一直专注于软件静态分析工具研发，其核心产品Checkmarx在全球享有非常高的知名度，具有大量用户。在静态分析工具领域，2019年是一次比较大的收购是GitHub收购Semmle公司，官方没有公布收购价格，但是Semm...

随着开源技术在云计算、大数据、AI领域的不断运用，不断破除技术壁垒，让企业快速建立自身的应用，在开源软件基础一，自主研发部分代码，便可以推出企业自身品牌的产品，开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计，98%的企业管理者并不知道自己研发产品里的成分、...

OWASP（Open Web Application Security Project）开放式web应用程序安全项目，是一个非营利性组织，不依附于任何企业或财团的安全组织，几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...

2020年RSA大会于2月24日至28日在美国旧金山召开，今年的会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标，今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...

微软自2004年就采用SDL（Security Development Lifecycle），即安全开发生命周期。后面很多安全企业提出S-SDLC（Secure Software Development Lifecycle）。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作，放到软件开发生命周期各个阶段去，在每个阶段做...

小伙伴们，今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签，浏览器会根据标签中的内容，判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题（XSS），浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时，主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度，开发...

近期，很多企业开始关注DevSecOps，下面根据作者对其理解，简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分：1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文：1 DevSecOps建设的背景和目的随着...

今天，我还是分析一款强大的代码安全审计工具到底应该什么样？还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中，分为10类，例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子，进行分析。先看SQL注入，我从其中选择了一个具有代表性的案例，BenchmarkTest00105.j...

代码安全审计产品、代码缺陷分析产品、代码安全分析等基于源代码静态分析技术的产品市场上越来越多，但是质量却层次不齐，误报率非常高，漏报率也不低，究其原因是为什么呢？因为一款静态分析类产品研发不是轻松的事，往往要经历几年时间，产品才会逐渐成熟，支持的开发语言和安全漏洞类型才能达到企业级应用水平，一般中小企业是很难投入如此长的时间进行研发的，而且静态分析类产品底...

下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料，如有错误或不妥之处，还请各位指正。如果表格中有一些未知信息你了解，请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售，其中Blackduck很多人都了解，前几年被Synopsys公司所收购，只能在国内销售不带库的版本。要把安全漏洞对应到...

近些年来，随着我国社会发展和科技进步，在军事、航天、航空、能源、金融、公共安全等众多领域，国家大型关键基础设施正在向着更强、更高的水平急剧跃升，呈现出超大型化、复杂化、安全关键的特征。软件在系统中起到核心的作用。随着软件规模的日益增大，代码数量由几万行，发展到现在经常出现几十万行，甚至几百万行代码的规模，系统的逻辑结构越来越复杂，只靠人工基本上无法满足代码审计的对于时效和成本等各方面的要求。...

今天给大家show一下，国内最强的代码审查工具CoBOT，对OWASP Benchmark进行代码审查的报告。 Benchmark 代码检测报告 ...

北大软件CoBOT（库博）是具有自主知识产权的静态检测工具。在2013年获得了计算机软件著作权，基于值依赖分析的C程序缺陷静态检测系统。很多同行对值依赖分析的概念可能不是太清楚，今天我们主要分析一下这个技术。值依赖分析是建立在值流模型基础之上的，值流模型最早由Horwitz提出，值流图中结点与结点之间的连线表示的是数据流分析中的定值使用关系。值流依赖表示由于定值-使用连接的依赖关系。值流依赖关...

根据2019年11月12日来自于五角大楼的Dod发言称，谁真正写了你的代码？原因主要是因为美国程序员经常从各种场合下载使用来自于俄罗斯和中国程序员编写的代码。这对美国的国防安全提出了严峻挑战，所以五角大楼正在研究开发或者购买工具来实现对代码的追踪。一位负责采购软件的美国官员称，虽然我们购买的软件来自于美国公司，但是不意味着所有的代码都是这里写的。软件开发公司或程序开发人员将工作...

最近在某金融客户做POC，把CoBOT安装在Jenkins上面，当前Jenkins版本没有任何插件，安装后由于是云桌面没有连接互联网或已经设置访问策略，无法进行在线安装插件，所以只能下载插件后再安装。在网络上搜索Jenkins插件，下载到两个插件包，4G插件，这么多插件手工安装，那不是累的吐血，也没有这么多时间。还是感谢Jenkins平台，在配置项目过程中，会逐步提示缺少什么，如下...

PHPStudy软件是国内的一款免费的PHP调试环境集成包，一般在本机调试情况下使用，当然也有一些企业在生产中也可能使用。该后门首先由ChaMd5安全团队发布监测方法和后门位置。该软件被恶意攻击者攻击，注入了后门，通过远程控制抓取账号密码等信息传固定服务器上。要检查安装的phpstudy是否有漏洞，可以使用下面脚本（安识安全团队撰写的，不重复造轮子了）#encoding:utf-...

2019年6月6日，工信部对四家运营商发放了5G商用牌照，标志着中国即将正式进入5G商用元年。5G标准是全球产业界共同参与制定的统一国际标准，中国声明的标准专利占比超过30%。5G商用牌照的发放将进一步推动运营商加快5G网络建设；芯片和射频器件等5G器件企业将首先收益；5G的终端设备、信息技术服务也将成为5G的重点。国内外企业必将积极参与5G网络下的应用建设，中国信通院发布的报告显示，预计2020...

弱密码主要是由于系统或用户的密码没有达到一定的复杂程度的密码或使用较弱的加密算法产生的密码，恶意攻击者可以通过猜测、彩虹表、cookie、配置文件、注册表、网络截获等手段可以破解的密码。CWE-261对应该类缺陷,对应OWASP 2004年十大类别A8-不安全存储，SFP二级集群的弱密码学。这些涉及到凭证管理、不受保护的凭证存储、配置文件中的空密码、使用硬编码密码、配置文件中的密码、权限和访问...