代碼審計(jì)——四款主流的源代碼掃描工具簡介

工欲善其事，必先利其器。

在源代碼的靜態(tài)安全審計(jì)中，使用自動化工具代替人工漏洞挖掘，可以顯著提高審計(jì)工作的效率。學(xué)會利用自動化代碼審計(jì)工具，是每一個(gè)代碼審計(jì)人員必備的能力。在學(xué)習(xí)PHP源代碼審計(jì)的過程中，本人搜集使用了多款自動化工具。本文將簡要介紹其中三款比較實(shí)用的工具：

Fortify SCA（Static Code Analyzer）是由Fortify軟件公司（已被惠普收購）開發(fā)的一款商業(yè)版源代碼審計(jì)工具。它使用的數(shù)據(jù)流分析技術(shù)，跨層跨語言地分析代碼的漏洞產(chǎn)生，目前支持所有的主流開發(fā)語言。Fortify SCA是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流等對應(yīng)用軟件的源代碼進(jìn)行靜態(tài)分析，分析的過程中與它特有的軟件安全漏洞規(guī)則進(jìn)行地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給于整理報(bào)告。

Checkmarx的CxEnterprise靜態(tài)源代碼安全漏洞掃描和管理方案是一款比較的、綜合的源代碼安全掃描和管理方案，該方案提供用戶、角色和團(tuán)隊(duì)管理、權(quán)限管理、掃描結(jié)果管理、掃描調(diào)度和自動化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報(bào)表管理等多種企業(yè)環(huán)境下實(shí)施源代碼安全掃描和管理功能。

VeraCode靜態(tài)源代碼掃描分析服務(wù)平臺是商業(yè)運(yùn)營好的平臺，數(shù)千家 軟件科技公司都在使用其服務(wù)發(fā)現(xiàn)軟件安全漏洞、質(zhì)量缺陷。

APP代碼審計(jì)檢測系統(tǒng)架構(gòu)

測試系統(tǒng)主要分為兩個(gè)模塊，一個(gè)是分析引擎模塊，一個(gè)是測試管理模塊。不同平臺上開發(fā)的軟件代碼可以通過中間的分布式調(diào)度方式來完成分發(fā)調(diào)度測試。如圖所示：

目前可以支持對 JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開發(fā)語言的安全漏洞的檢查，共能夠檢測出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類，共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、 代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個(gè)大類，然后根據(jù)開發(fā)語言的不同，在結(jié)合國際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識庫進(jìn)行細(xì)分和命名，目前約1000個(gè)子類。

銀行應(yīng)用代碼審計(jì)方案

銀行是網(wǎng)絡(luò)攻擊的主要目標(biāo)，企業(yè)也將信息安全作為其的關(guān)注點(diǎn)之一。近年來，銀行系統(tǒng)的安全事件不絕于耳。導(dǎo)致這些攻擊事件的主要根源是由于應(yīng)用程序自身的漏洞，因此保障應(yīng)用安全成了當(dāng)前銀行業(yè)信息安全的工作重點(diǎn)。

銀行面臨的應(yīng)用安全問題主要有以下幾個(gè)方面：

1、 應(yīng)用數(shù)量龐大，實(shí)現(xiàn)全部安全測試并實(shí)時(shí)監(jiān)控的難度很大。

要想實(shí)現(xiàn)對所有的應(yīng)用進(jìn)行詳盡的安全測試，并在其版本更新時(shí)立即進(jìn)行回歸測試，無論是人工測試還是利用傳統(tǒng)滲透測試工具及靜態(tài)代碼掃描工具都無法很好的達(dá)到目的。人工的方式太耗費(fèi)人力。滲透測試工具依賴于人，且對于很多測試路徑無法達(dá)到。靜態(tài)工具誤報(bào)率高，掃描的效率低下。

2、 為了快速應(yīng)對需求變更，金融行業(yè)軟件大量使用敏捷開發(fā)的模型，這使得安全代碼審核的工作量加大。

敏捷開發(fā)的模型的特點(diǎn)是快速迭代，頻繁的版本發(fā)布加大的安全代碼審核的工作量，人工審核的方式已無法全部覆蓋到。

3、 有大量項(xiàng)目是外包開發(fā)，其安全質(zhì)量無法把控。

外包團(tuán)隊(duì)往往只注重對功能需求的完成，而不太顧及代碼質(zhì)量與安全問題。 企業(yè)沒有很好的方法在過程中加強(qiáng)安全質(zhì)理的管理。

對外包團(tuán)開發(fā)的代碼進(jìn)行安全審計(jì)是銀行保障應(yīng)用安全的關(guān)鍵活動。SECZONE經(jīng)過多年的安全服務(wù)的積累，對于銀行外包代碼安全審計(jì)形成了包括培訓(xùn)、S-SDLC流程、IAST技術(shù)組成的成熟解決方案。

1、應(yīng)用安全培訓(xùn)

2、S-SDLC軟件安全開發(fā)生命周期流程

3、利用IAST工具進(jìn)行源碼審核

4、兼容敏捷開發(fā)模式

5、實(shí)現(xiàn)對外包團(tuán)隊(duì)開發(fā)質(zhì)量的控制

代碼安全審計(jì)需要做什么準(zhǔn)備工作

      在代碼審計(jì)前期準(zhǔn)備階段，項(xiàng)目組將根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際情況定制訪談材料，采用文檔審核和訪談方式對業(yè)務(wù)軟件功能、架構(gòu)、運(yùn)行環(huán)境和編程語言等實(shí)際情況進(jìn)行調(diào)研。了解業(yè)務(wù)系統(tǒng)的開發(fā)環(huán)境、架構(gòu)、安全現(xiàn)狀以及運(yùn)行環(huán)境等可能對業(yè)務(wù)系統(tǒng)安全性產(chǎn)生影響的各種因素。同時(shí)會準(zhǔn)備代碼審計(jì)工具、務(wù)系統(tǒng)測試系統(tǒng)等環(huán)境，為代碼審查工作的開展提供必要條件。