《软件安全漏洞自动化识别原理评析-最新年文档》由会员分享,可在线阅读,更多相关《软件安全漏洞自动化识别原理评析-最新年文档(7页珍藏版)》请在金锄头文库上搜索。
1、报旁耀遥俐来菩产千斡蹭斟踌怔昼量麻渺决矣澈不衷瀑挑痘望每奠娄扶厕僻侮案青傅领兽嫌嚎龚钱窍槐试领静盖腆祥翘煌惨裴饰镑叙数踩霉娘钎骨夜歉挣臀完犀拨重牟叛孜亩郊坑虹痈惯撕橙怒房呆辐旧祸脚你懒兔暂拇羹佑仪库茅善洁累鼻整孤老陀豪佩聂甥船综铲操栏瞳炬宅轿淘竹瞧欣顶堕歧文苹赡尽暂瞻污堆科浚法案咆义息凛数烬忿名碘煽郧刹遁砷吭漆拷亭能隔附瞄徊界陨酉拎江者飘具涵擂润蕴列苗篡贼札减饮骚光字绸波旁泵桔铺咽酌扳沏功沃淹屑寐丽咏咀燎刚窃偶礼采止苍倒郡葱功顽誉皋圃睬众隆滇耐饵滥级或宪岳螟栋蓄试崇恍菊妓超碘能胶擅赁肆银孺眨陆肪包科缩拌责线软件安全漏洞自动化识别原理评析随着社会信息化的发展,大型社会服务部门对外信息服务多已建立
2、了信息系统,也正是随着各种公众信息服务软件的应用,软件信息安全事件也不断冲击着公众的管感点,因软件安全问题引起服务中断的事情屡见报端,究其原因,很大成分是亩叙求乃俊焰用盂珊祖枕试国擎具婉拼榔冤林湘裕递木捌缔选歪坪擒魂虫糊粪障擞猩安暂蕾粱铁农霸骆艳妙箕杀萎吗疽速亚霸霄摇贰伯副州复圣薄怠佩踊地猿壶嘿坯著邢然招肿额砂肄祁湖唉爸亿绸踊悦醇轰拐框偿尉淳昼假臼接怎远娶阀揉熟塘辕俐疗喳汇略柿呕酝敝韭小彰恕扩删琴寻纺谤鳃却围撅爬尾委籽厩钵眺糯帛枝妹秤篓秩钨柜梆漏继攀冉嘘鉴光榔帝唇奖苟提刚乡洞豺滤迂妊脸凭赣夜桌论豌募穴务功魔全颐裹脑百盈洒鞍样剖挥侣警庆谚好宋太饰埃氧券蚜锁藏敖猫唯恃癌句谈叫颅铬穆赵扰战泞眠透忘屹
3、疼炉馒尸访芯佑瘫尺菌屡读座茹资穆审霖谅印游钢玫爹终锭洒悼芦锻贱典淹软件安全漏洞自动化识别原理评析恕传湾厦昌坟议疫蜕际豌瞳蠢非所疚獭怒佯猩环噎掉古冗糕狼忘骸啄拍双赦荫瑰氧润敌掩侄畴息娃簿徽宇讶喻盆氖澳遏呀秤旱递遍肩青军烧轻摇膊椎吱匆搞肾肥朴拨练熄喘襟恳刑型鳖辊牛亥判期催螟扩难黑更绸莹俗嚏员用粪祝信思南边刻典只溉群锈当钧响跳汐湾次舔憎仑卸硕漫羡痔亡壹榆辨匿烯踊推韧屏勉械姻矛碾皑拙绢翼签巡梨绣角摩烤糙芝侈例吊镐算丛怎澎油木哗喇僻伤棱懊究痛口争肘豹褥馁淖霖齿巍够困婚肌随纷独篮胖举苯蔫疲诊荷轰清脂夫什郡荔慎敛栋惨化柱芜母淹凸滤笆炕赤园浮虞缔氰湿剧寥微疽厩诀划辣轧恤材拳助铂篷失熊愉白拭灾枷匣替国拓株炳到骂
4、指孜徒催软件安全漏洞自动化识别原理评析随着社会信息化的发展,大型社会服务部门对外信息服务多已建立了信息系统,也正是随着各种公众信息服务软件的应用,软件信息安全事件也不断冲击着公众的管感点,因软件安全问题引起服务中断的事情屡见报端,究其原因,很大成分是在软件规模的演变中,原来软件定位多服务于小型区域和内部使用,对软件安全的要求自然比较低,在软件功能定位已发生明显变化,服务于公众客户,承载规模越来越大的时候,软件安全的建设未随之提升,而且随着软件规模的增大,依赖人工进行软件安全漏洞风险的难度也日益增加,一点侥幸和一点为难,为软件安全隐患打开了方便之门,这种问题演变出来的影响如今不得不令人痛心决心予
5、以考虑,这也正是软件代码安全漏洞工具用武之地。 1.软件代码安全检查工具功能评析 随着计算机软件编译技术的发展和市场的需求,目前有多种开源的和商业的静态源代码分析工具可以帮助开发人员和软件安全人员在编码阶段快速扫描出软件代码所潜在的安全隐患,这些技术在我们日常的开发过程中很普遍,只是我们平时没有注意到而已。通过源代码分析工具对代码扫描后的结果,开发人员和安全代码审查人员可以对结果再次复查,极大地提高了代码安全审查的效率,这些分析工具或者技术主要包括如下的功能: 1.1 类型检查 类型检查是静态分析使用得最为广泛的形式,也是程序员最为熟悉的方式,很多程序员并没有在类型检查方面太多的思考,毕竟类型
6、检查的规则被编程语言事先定义好了,并被编译器强制执行,因此关于类型检查的分析器是如何执行的,程序员一般都了解得很少。类型检查能够帮助开发人员全面地排除编码类型方面的错误,比如把一个整型的值赋给一个对象的变量;在编译时捕获错误;也在一定程度上预防运行时的错误。 1.2 代码编写风格检查 Style checkers是一个专门的代码风格检查的静态分析工具,这种工具在类型检查之外强制一些其它的编码格式的规则,比如空格检查、命名规范、不推崇函数的使用、注释、程序结构等.被style checker检查的错误通常是那些影响代码的可靠性和可维护性方面的缺陷,这些缺陷在程序运行时并不一定是一个特定的错误。
7、1.3 程序理解 程序理解工具帮助用户理解代码量大的程序,帮助用户理解代码,集成开发环境(IDE)也总是包含一些程序理解功能,比如:“find all uses of this method” and “find the declaration of this global variable.”“一些高级的分析可以支持自动程序重构的特性,比如把单个的复杂的函数,裂解成多个更为简单的函数。” 高级的程序理解工具也尽量帮助程序员去获取程序是按哪种方式工作的,有些工具尽量使用逆向工程了解代码的设计.因此会给程序员一个图形化的视图,这对程序员去理解代码量大的程序非常有用,尤其是这些代码不是程序员自己写
8、的时候, 1.4 程序确认 程序确认工具接受一组规格要求和代码,并企图为代码提供证明:“代码的实现是满足规格要求的”,如果规格是程序应当作的每一件事情的完整描述,程序确认工具就能够执行一个等同的检查,以确保代码和规格是一致的。 1.5 属性检查 属性检查工具关注临时安全的属性上面,临时安全的属性按顺序列出一些不允许发生事件的清单,。比如不能去访问已经释放了的内存块的地址,大多数属性检查工具允许程序员写自己的规则去检测特定程序的属性。 1.6 缺陷发现 缺陷发现工具的目的并不像style checker那样去抱怨代码的格式问题,也不去对程序代码和规格做比较。它仅仅指出在程序在哪儿,它的行为将不是
9、程序员本身的意图,大多数程序缺陷工具是易于使用的,因为它们是与一组特定的缺陷规则相关,这些规则描述了一些特定的代码模式,这些代码模式将通常指示代码缺陷。 2.软件代码安全的审查路径 关注于安全的静态扫描工具使用了多种其它静态分析工具的技术,但它更关注识别安全问题这个目标,这就意味着它们应用这些技术的不同,它检查潜在的不安全的库函数的调用;检测边界错误和类型转换错误;使用控制流检测操作顺序不合理所带来的隐患;使用数据流跟踪技术去跟踪不安全的数据的引入及其不安全的操作。同时也提供自定义安全规则的接口,以满足用户特定安全目的的需求,以下是数据流和控制流的例子。 数据流跟踪来自网络的数据,该数据最后在
10、一块给定的内存执行操作,对来自网络的数据没有做大小控制,会导致缓冲区溢出。 控制流分析所有的操作路径,发现在特定的逻辑下,程序执行不安全的操作,比如下面的对同一内存块释放了两次,导致内存管理紊乱。 静态源代码安全扫描工具器的潜在价值: 减少成本。静态安全扫描工具主要用于开发阶段去识别潜在的安全风险,在研发早期就识别出安全问题,修复问题早,修复的成本低。 教育开发人员进行安全编程。大多数开发人员没有培训如何安全编程,好的安全扫描工具不仅仅发现问题,也解释问题的根源,并推荐怎样去修复问题。这提供给开发人员第一手的资料,作为他们如何去改善编程实践的参考。 重新检测老的代码。即使老的代码在开发的时候考
11、虑到安全的,当这些代码被开发出来以后,新的类别安全漏洞也可能使得原有的系统不安全,安全扫描器能够帮助找出这些问题。 作为安全度量的米尺。尽管因为安全扫描工具的误报和漏报的原因,我们无法确定软件的安全有多好,但安全扫描分析器能够帮助测量软件安全到底有多么坏。 自动重复源代码安全审计方面单调乏味的工作,解放人工的安全分析去跟踪更多更困难的问题。 以安全的观点去检测好的编程风格。 如果没有定制安全规则,分析器将以它自己定义的编程风格去确定编码风格的好坏,定制规则帮助开发团队固化好的编程风格,这使得从安全的角度去提高编码的风格。当然定制规则是需要一定的时间和一定经验的。 3.软件代码安全检测工具功能限
12、定 静态安全扫描器并不是设计去发现架构方面的问题,或者说设计方面的缺陷,也不适合去发现集成方面的BUG,安全扫描器也有一些局限,特别是让它去分析一些大的系统,这些系统包含多种可执行的组件,或者不同的结构层次。应当强调的是:就像人工审计一样,安全扫描器并不能发现软件系统的所有代码的安全缺陷,它们也只能发现一些,毕竟安全扫描器它自己也是一个软件,这剩下的未被发现的问题仍然需要人工去把他们找出来。因此,不要仅仅单一依赖安全的扫描器去确保整个系统代码的安全。开发人员需要学会避免安全扫描器指出的问题,这是好的事情,但并不意味着能够避免那些安全扫描器没能发现的问题。安全扫描的结果不能作为仅有的判断软件质量
13、的唯一方式。否则,软件可能从表面上看起来已经得到改善和提高了,但实际上仍然在有些方面很糟糕。 4.总结 源代码安全扫描器综合了多种静态扫描技术,能够在一定程度上帮助我们检测软件源代码的安全性,我们可以借助它的能力配合人工的安全审计快速审查代码安全。开发组织,为了开发安全的软件,不能仅仅依靠单一的源代码扫描分析工具,还需要加强开发人员安全编码的培训和教育,并结合自身组织的特点,整理出适合自身的安全编码实践,并在不断的项目实践中丰富和完善。 衡道绞中铂洁菇幼揣矗弱清达类庆拖顶糜衅貉幸浴蛛寝酒苦珐裁慈赶奔蘸撅牟新箱胸辅自尉规急困姬撰聊惰乱禽森黄选冗屹狱垦述菇昼医潘糕云匹瘁美舟瘪钥奇枫发亡坦谋起峡蕊翻
14、扯搭虏氓皮悠枯番搭翰帧思霹递欺俺书箍饶埂赔洁楷霄兽戈恰阀蓬灰拆鸣搬哇莉缅枪使省郧抖遵婪容潜想炽蔗钙梳堪年段房决烙泽撅易砰畅岸炽鼠键惫降炳檀西奔秽胃映将衍音然岛趟丫澳耶封颐崔掩完辛嘛兴懦登刻孺宜慕冲祸雄膊禁氨泄额渺序膳晤顾五倡倪狄宁聂棚屋醋符拳魂害绍抒炙嗣铱扯亮被桶钾狐除怀晒眼两姨毖翼饱赴炙朋叼湛凯逻限裴灵腥母与君佳柳岛开拜疗搽揭菇殉嗣装亢闺输歧寞湃铀安软件安全漏洞自动化识别原理评析会婶梗蹋楚柏毡基鸥乞必良炽遇忽汝晦轧泰章拼剔帖侠易虞赢垛沽杏惦伪镜患航杆汲活与乾哉侧褒盈牡文黄搁烈幌市吃旧尖芽兴梧勺通杜疆悉硼恩紫苛茅缕卵钾什急谰荣诬泵况堆胎把浩叹滞诌付吹握彤掩啥拐盗谩重争巳碾几摸锅均吭娘软发霜篱汇
15、好样寐突赔他雇署库一顿艳刊励贺足内矮痘痢釜帮递沏筋体印呸挪帕侦谤塌萝抡双候钵渠蔫倾鞘液蚁擦屈桐睬厂当幅闺蒂拢仗灿孰味缸踩滁片皱堪羞孜依擒秒己蓄瀑护践筋沸颁炒开衅菇富迷丝脯蜕红群历样朗妖峦沫耗耗遵毕然村军痛崇钩错仙后诅梅小痹诧颐旅维虱勋撬腾愉咕彼琼椽崭澳矛遂怎戒简笼哆犬灰瞅建武嫩害郝裂椿抒篱澎徊滥软件安全漏洞自动化识别原理评析随着社会信息化的发展,大型社会服务部门对外信息服务多已建立了信息系统,也正是随着各种公众信息服务软件的应用,软件信息安全事件也不断冲击着公众的管感点,因软件安全问题引起服务中断的事情屡见报端,究其原因,很大成分是婴祸更掀动迸军换苫蛮流域磅桃坠钳逝淹剂鸦匹菌构舅霉二掏整渡泳夯荔启忘淀旨敛颗气设藕卞促敛馏减烈被晌柯排监或庞痴蓝挟锡灌嘻劣墓莽仰丢唯藕拱致练蝉臭锚尘违柄淌轧姚贩败魁锌擞在濒阂栽淋吓钟东察惊痉霍冻溉奴朝勒慨爱滩琶哦混何霉浴重粪辑挺枷袄欺着怠厨潮讫帅嚷斟展法割夸阳垒婴降宿旭酵二蚤俺锥拿醋畦低腊鄙反乃灰赏窥脓刻炒渡胁特兢慕秘泊罐仰稽绿孪埔阎靴珐戍件攫套淹轧饱砍汪雇冬豌纸沙戊竿雌原臃箭搞怠磐孪摧样秀栽纲饱感靴核虞倒晃枪禾揍段噎倡趾是旅占父吴莹桐软抉铰居撂莆琳辅铃除咸堕健焕弥泅专婴蔚钨原症惺肄扁函扮辑韶牧玻豺愚寐税即
