代碼審計(jì)——四款主流的源代碼掃描工具簡(jiǎn)介

工欲善其事，必先利其器。

在源代碼的靜態(tài)安全審計(jì)中，使用自動(dòng)化工具代替人工漏洞挖掘，可以顯著提高審計(jì)工作的效率。學(xué)會(huì)利用自動(dòng)化代碼審計(jì)工具，是每一個(gè)代碼審計(jì)人員必備的能力。在學(xué)習(xí)PHP源代碼審計(jì)的過(guò)程中，本人搜集使用了多款自動(dòng)化工具。本文將簡(jiǎn)要介紹其中三款比較實(shí)用的工具：

Fortify SCA（Static Code Analyzer）是由Fortify軟件公司（已被惠普收購(gòu)）開(kāi)發(fā)的一款商業(yè)版源代碼審計(jì)工具。它使用的數(shù)據(jù)流分析技術(shù)，跨層跨語(yǔ)言地分析代碼的漏洞產(chǎn)生，目前支持所有的主流開(kāi)發(fā)語(yǔ)言。Fortify SCA是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測(cè)試工具。它通過(guò)內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語(yǔ)義、結(jié)構(gòu)、控制流、配置流等對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)分析，分析的過(guò)程中與它特有的軟件安全漏洞規(guī)則進(jìn)行地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來(lái)，并給于整理報(bào)告。

Checkmarx的CxEnterprise靜態(tài)源代碼安全漏洞掃描和管理方案是一款比較的、綜合的源代碼安全掃描和管理方案，該方案提供用戶、角色和團(tuán)隊(duì)管理、權(quán)限管理、掃描結(jié)果管理、掃描調(diào)度和自動(dòng)化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報(bào)表管理等多種企業(yè)環(huán)境下實(shí)施源代碼安全掃描和管理功能。

VeraCode靜態(tài)源代碼掃描分析服務(wù)平臺(tái)是商業(yè)運(yùn)營(yíng)好的平臺(tái)，數(shù)千家 軟件科技公司都在使用其服務(wù)發(fā)現(xiàn)軟件安全漏洞、質(zhì)量缺陷。

APP代碼審計(jì)檢測(cè)系統(tǒng)架構(gòu)

測(cè)試系統(tǒng)主要分為兩個(gè)模塊，一個(gè)是分析引擎模塊，一個(gè)是測(cè)試管理模塊。不同平臺(tái)上開(kāi)發(fā)的軟件代碼可以通過(guò)中間的分布式調(diào)度方式來(lái)完成分發(fā)調(diào)度測(cè)試。如圖所示：

目前可以支持對(duì) JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開(kāi)發(fā)語(yǔ)言的安全漏洞的檢查，共能夠檢測(cè)出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類(lèi)，共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個(gè)大類(lèi)，然后根據(jù)開(kāi)發(fā)語(yǔ)言的不同，在結(jié)合國(guó)際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識(shí)庫(kù)進(jìn)行細(xì)分和命名，目前約1000個(gè)子類(lèi)。

銀行應(yīng)用代碼審計(jì)方案

銀行是網(wǎng)絡(luò)攻擊的主要目標(biāo)，企業(yè)也將信息安全作為其的關(guān)注點(diǎn)之一。近年來(lái)，銀行系統(tǒng)的安全事件不絕于耳。導(dǎo)致這些攻擊事件的主要根源是由于應(yīng)用程序自身的漏洞，因此保障應(yīng)用安全成了當(dāng)前銀行業(yè)信息安全的工作重點(diǎn)。

銀行面臨的應(yīng)用安全問(wèn)題主要有以下幾個(gè)方面：

1、 應(yīng)用數(shù)量龐大，實(shí)現(xiàn)全部安全測(cè)試并實(shí)時(shí)監(jiān)控的難度很大。

要想實(shí)現(xiàn)對(duì)所有的應(yīng)用進(jìn)行詳盡的安全測(cè)試，并在其版本更新時(shí)立即進(jìn)行回歸測(cè)試，無(wú)論是人工測(cè)試還是利用傳統(tǒng)滲透測(cè)試工具及靜態(tài)代碼掃描工具都無(wú)法很好的達(dá)到目的。人工的方式太耗費(fèi)人力。滲透測(cè)試工具依賴于人，且對(duì)于很多測(cè)試路徑無(wú)法達(dá)到。靜態(tài)工具誤報(bào)率高，掃描的效率低下。

2、 為了快速應(yīng)對(duì)需求變更，金融行業(yè)軟件大量使用敏捷開(kāi)發(fā)的模型，這使得安全代碼審核的工作量加大。

敏捷開(kāi)發(fā)的模型的特點(diǎn)是快速迭代，頻繁的版本發(fā)布加大的安全代碼審核的工作量，人工審核的方式已無(wú)法全部覆蓋到。

3、 有大量項(xiàng)目是外包開(kāi)發(fā)，其安全質(zhì)量無(wú)法把控。

外包團(tuán)隊(duì)往往只注重對(duì)功能需求的完成，而不太顧及代碼質(zhì)量與安全問(wèn)題。 企業(yè)沒(méi)有很好的方法在過(guò)程中加強(qiáng)安全質(zhì)理的管理。

對(duì)外包團(tuán)開(kāi)發(fā)的代碼進(jìn)行安全審計(jì)是銀行保障應(yīng)用安全的關(guān)鍵活動(dòng)。SECZONE經(jīng)過(guò)多年的安全服務(wù)的積累，對(duì)于銀行外包代碼安全審計(jì)形成了包括培訓(xùn)、S-SDLC流程、IAST技術(shù)組成的成熟解決方案。

1、應(yīng)用安全培訓(xùn)

2、S-SDLC軟件安全開(kāi)發(fā)生命周期流程

3、利用IAST工具進(jìn)行源碼審核

4、兼容敏捷開(kāi)發(fā)模式

5、實(shí)現(xiàn)對(duì)外包團(tuán)隊(duì)開(kāi)發(fā)質(zhì)量的控制

代碼安全審計(jì)需要做什么準(zhǔn)備工作

      在代碼審計(jì)前期準(zhǔn)備階段，項(xiàng)目組將根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際情況定制訪談材料，采用文檔審核和訪談方式對(duì)業(yè)務(wù)軟件功能、架構(gòu)、運(yùn)行環(huán)境和編程語(yǔ)言等實(shí)際情況進(jìn)行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運(yùn)行環(huán)境等可能對(duì)業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時(shí)會(huì)準(zhǔn)備代碼審計(jì)工具、務(wù)系統(tǒng)測(cè)試系統(tǒng)等環(huán)境，為代碼審查工作的開(kāi)展提供必要條件。