端瑪科技啟用源代碼分析技術(shù)處理大數(shù)據(jù)(42張)課件

1、啟用源代碼分析技術(shù)處理大數(shù)據(jù)Checkmarx中國區(qū)技術(shù)專家第1頁，共44頁。 陳安明介紹端瑪科技總經(jīng)理，獨立應用安全風險分析師，Checkmarx中國區(qū)技術(shù)專家。是中國最早從事源代碼分析技術(shù)調(diào)查和研究人員，專門從事應用軟件安全風險評估、風險消除、培訓、教育和軟件安全生命開發(fā)周期SDL咨詢。其優(yōu)秀的軟件安全方案、產(chǎn)品及專業(yè)化的軟件安全開發(fā)生命周期SDL服務(wù)已進入金融銀行、保險、電信、汽車、媒體娛樂、軟件、服務(wù)和軍事等財富1000的企業(yè)第2頁，共44頁。議題概述傳統(tǒng)以安全為導向的源代碼分析工具只能檢測到黑客明顯可以利用的漏洞，而且這些工具所找到的安全漏洞的數(shù)量非常多，即使這些結(jié)果是精確的，都很難

2、在短時間修復，這樣一來，我們就不得不面臨兩個現(xiàn)實問題： 一、我們?nèi)绾螌Ω赌切┕ぞ邲]有覆蓋到的代碼？ 二、我們怎樣才能提高安全漏洞修復的能力？ 為了應對這些挑戰(zhàn)，我們把研究的側(cè)重點放在了大數(shù)據(jù)分析領(lǐng)域，將大數(shù)據(jù)的先進技術(shù)與我們的研究整合到一起。借這次交流的機會，我想與大家分享一下我們的研究方法以及我們的成果。第3頁，共44頁。源代碼分析的歷史第一代源代碼分析系統(tǒng)安全知識是通過綁定靜態(tài)的規(guī)則體現(xiàn)。靜態(tài)規(guī)則依據(jù)原始或者標準語言的缺陷來制定的，對用戶而言，技術(shù)是不可見的。 用戶代碼架構(gòu)和框架適應能力差。幾乎無法適應在開發(fā)語言基礎(chǔ)上用戶私有的架構(gòu)和框架代碼封裝的掃描。規(guī)則主要細節(jié)不公開，用戶很難自定義或

3、者調(diào)整規(guī)則滿足用戶自身的系統(tǒng)架構(gòu)和代碼封裝的需求。 使用依賴操作系統(tǒng)環(huán)境和編譯器 第4頁，共44頁。第5頁，共44頁。源代碼分析的歷史（續(xù)）新一代源代碼分析系統(tǒng)的安全知識是通過綁定靜態(tài)的規(guī)則體現(xiàn)。靜態(tài)規(guī)則依據(jù)原始或者標準語言技術(shù)架構(gòu)和框架的缺陷來制定的，公開規(guī)則實現(xiàn)的技術(shù)和細節(jié)。用戶代碼架構(gòu)和框架適應能力強。適應在開發(fā)語言基礎(chǔ)上用戶私有的架構(gòu)和框架代碼的掃描。規(guī)則主要細節(jié)完全公開，用戶很容易自定義或者調(diào)整規(guī)則滿足用戶自身的系統(tǒng)架構(gòu)和代碼封裝的需求。能夠任意添加自己需要的有關(guān)業(yè)務(wù)邏輯和代碼質(zhì)量相關(guān)的查詢使用簡便！虛擬編譯器，無須代碼編譯。無需依賴操作系統(tǒng)環(huán)境和編譯。分析范圍：SQL 注入-惡意后

4、門-代碼質(zhì)量缺陷第6頁，共44頁。AbstractStore安全漏洞 代碼質(zhì)量業(yè)務(wù)邏輯第7頁，共44頁。示例第8頁，共44頁。安全漏洞 質(zhì)量缺陷業(yè)務(wù)邏輯應用程序智能分析第9頁，共44頁。SCKD源代碼知識發(fā)現(xiàn)“使用群體的智慧”（大數(shù)據(jù)）通過代碼的不規(guī)則性來識別安全漏洞第10頁，共44頁。零日？零配置？如果我們連自己要問什么問題都不清楚，該怎么辦呢？如果我們沒辦法對系統(tǒng)進行配置，怎么辦？我們需要一位“大師”，來替我們問問題。替我們配置系統(tǒng)。替我們找到漏洞。給我們提供指導。 第11頁，共44頁。有這樣一位大師是你！是你！是你！還是你！我們大家 形成集體智慧大多數(shù)開發(fā)人員在大多數(shù)時間都能編寫出好的、

5、標準 、高質(zhì)量代碼第12頁，共44頁。群體我們可以根據(jù)代碼統(tǒng)計來設(shè)定一個基準，并發(fā)現(xiàn)偏差。第13頁，共44頁。源代碼知識發(fā)現(xiàn)-SCKD源代碼知識發(fā)現(xiàn) 時下最為活躍 的研究課題之一(數(shù)據(jù)庫中的知識發(fā)現(xiàn)- /wiki/Knowledge_extraction )“知識發(fā)現(xiàn)描述的是一個自動搜索大規(guī)模數(shù)據(jù)模式的過程，而該模式可以被稱之為有關(guān)數(shù)據(jù)的知識。通常我們稱之為來自于輸入數(shù)據(jù)的知識。從方法和術(shù)語兩個層面來說，知識發(fā)現(xiàn)與其發(fā)掘來源數(shù)據(jù)領(lǐng)域的關(guān)系都非常緊密?！钡?4頁，共44頁。技術(shù)實現(xiàn)建立參考數(shù)據(jù)、尋找共同序列查找違規(guī)情況第15頁，共44頁。獲取數(shù)據(jù)S = input();If (isValid(s

6、)response.write(s);A = input();If (isValid(A)response.write(A);K = input();If (isValid(k)response.write(k);M = input();If (isValid(M)response.write(M);C = input();If (isValid(C)response.write(C);第16頁，共44頁。查找偏差，設(shè)立基準* = input();If (isValid(*)response.write(*); v = input();response.write(v);?X第17頁，共44頁

7、。后門 若我的名字是Maty，登錄If (isAuthenticated(user).If (isAuthenticated(user).If (isAuthenticated(user).If (isAuthenticated(user).If (isAuthenticated(user).If (isAuthenticated(user) | = “maty”).If (isAuthenticated(user) | = “maty”).第18頁，共44頁。增值 利用應用云服務(wù)？VAT = 1.05VAT = 1.08VAT = 1.08VAT = 1.08尋找不同應用之間的相似之處，建立

8、一個內(nèi)部標準。使用零定義！ 只要我們能修復一些應用就行，這些應用會幫助我們找到那些沒被修復的。第19頁，共44頁。我們的優(yōu)勢總體來說：我們能夠找到群體中隱藏的知識，給它命名，并找到違規(guī)情況。安全：確定在每一個頁面都對客戶進行驗證自動識別消毒程序后門 (“if (isValid(user) or user=“Maty”)”)業(yè)務(wù)邏輯(“if (qty 0) charge (qty*amnt)”)質(zhì)量發(fā)布的永遠都是具體資源最佳編碼實踐（自動識別策略）變量初始化群體的智慧對于大型企業(yè)和代碼庫作用更為明顯第20頁，共44頁。圖形可視化優(yōu)化代碼修復活動 “使用智能圖形方法識別安全漏洞交匯的連接節(jié)點及最佳

9、的修復位置” 第21頁，共44頁。代碼掃描結(jié)果修復問題找到數(shù)以千計的準確結(jié)果，但其實并不是我們希望看到的。例如Webgoat有大約220個跨站腳本和SQL 注入漏洞。假設(shè)我們需要30分鐘來修復一個漏洞+30分鐘來驗證修復，那就會需要220個小時，幾乎是一個月的工作量我們把這些工作縮到16個地方約耗費1/14 的時間這樣一來，我們就有時間去打打高爾夫球了第22頁，共44頁。代碼掃描分析結(jié)果現(xiàn)狀每一個代碼掃描結(jié)果都有一個獨立于其它調(diào)查結(jié)果的數(shù)據(jù)流。第23頁，共44頁。單一數(shù)據(jù)流路徑 跨站腳本String s = Request.QueryString“param1”;Response.Write(

10、s);Request.QueryString“param1”;sResponse.Write(s);Request.QueryString“param1”;sResponse.Write(s);第24頁，共44頁。代碼掃描分析結(jié)果現(xiàn)狀一個漏洞，很好解決。 14個同時出現(xiàn)，怎么辦？第25頁，共44頁。多個單一路徑 跨站腳本 大量工作第26頁，共44頁。但。他們有什么共同點？這些掃描結(jié)果之間有關(guān)聯(lián)嗎？第27頁，共44頁。組合路徑第28頁，共44頁。我們就能夠。指出、點擊、檢查，甚至連源代碼都不用讀嗎“我修復這里可以嗎？”“或者這里？”第29頁，共44頁。我修復這里可以嗎？第30頁，共44頁。修復這

11、里其實效率更高第31頁，共44頁。還有這？第32頁，共44頁。自動提出“假設(shè)”問句= 找到最佳的修復位置第33頁，共44頁。比較這兩種情況：第34頁，共44頁。圖形可視化修復建議的優(yōu)勢展示相同安全漏洞類型和不同問題調(diào)用之間的相關(guān)性。處理的并不是個人或者單個問題路徑的發(fā)現(xiàn) 事實上是整個系統(tǒng)。讓您得以更好地利用時間第35頁，共44頁。Webgoat 220個修復位置示例只要輕輕一點，我們就可以把220個位置縮減到16個。結(jié)果越多，我們的解決方式就越能體現(xiàn)其效率第36頁，共44頁。Q&AAny Question？ 第37頁，共44頁。代碼安全漏洞和質(zhì)量缺陷掃描云服務(wù)中心為使用Java、JSP、Jav

12、aSript、 VBSript、C# 、ASP.net 、VB.Net、 VB6、 C/C+ 、ASP 、PHP, Ruby、Perl 、PL/SQL、 Android、OWASP ESAPI、MISRA、和Objective-C (iOS) .(AppExchange platform)、API to 3rd party languages 等多種語言開發(fā)的軟件開發(fā)企業(yè)和項目提供源代碼安全漏洞和質(zhì)量缺陷掃描和分析，并提供結(jié)果審計 、管理 和報表生成。 第38頁，共44頁。應用安全服務(wù)平臺框架及內(nèi)容第39頁，共44頁。應用安全在線eLearning培訓在線培訓課程是基于世界頂級的應用安全講師和

13、咨詢專家的豐富的安全實踐和教學經(jīng)驗而組織，幫助開發(fā)組織快速了解和普及應用軟件安全方面的知識、技能和成熟軟件安全分析方法和最佳實踐。以期他們在最短的時間里學習到最需要的軟件安全知識，從而有效地應用到軟件開發(fā)的生命周期里 第40頁，共44頁。應用安全開發(fā)標準指導系統(tǒng)第41頁，共44頁。第42頁，共44頁。1、不是井里沒有水，而是你挖的不夠深。不是成功來得慢，而是你努力的不夠多。2、孤單一人的時間使自己變得優(yōu)秀，給來的人一個驚喜，也給自己一個好的交代。3、命運給你一個比別人低的起點是想告訴你，讓你用你的一生去奮斗出一個絕地反擊的故事，所以有什么理由不努力!4、心中沒有過分的貪求，自然苦就少?？诶锊徽f

14、多余的話，自然禍就少。腹內(nèi)的食物能減少，自然病就少。思緒中沒有過分欲，自然憂就少。大悲是無淚的，同樣大悟無言。緣來盡量要惜，緣盡就放。人生本來就空，對人家笑笑，對自己笑笑，笑著看天下，看日出日落，花謝花開，豈不自在，哪里來的塵埃!5、心情就像衣服，臟了就拿去洗洗，曬曬，陽光自然就會蔓延開來。陽光那么好，何必自尋煩惱，過好每一個當下，一萬個美麗的未來抵不過一個溫暖的現(xiàn)在。6、無論你正遭遇著什么，你都要從落魄中站起來重振旗鼓，要繼續(xù)保持熱忱，要繼續(xù)保持微笑，就像從未受傷過一樣。7、生命的美麗，永遠展現(xiàn)在她的進取之中;就像大樹的美麗，是展現(xiàn)在它負勢向上高聳入云的蓬勃生機中;像雄鷹的美麗，是展現(xiàn)在它搏

15、風擊雨如蒼天之魂的翱翔中;像江河的美麗，是展現(xiàn)在它波濤洶涌一瀉千里的奔流中。8、有些事，不可避免地發(fā)生，陰晴圓缺皆有規(guī)律，我們只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改變它的軌跡。9、與其埋怨世界，不如改變自己。管好自己的心，做好自己的事，比什么都強。人生無完美，曲折亦風景。別把失去看得過重，放棄是另一種擁有;不要經(jīng)常艷羨他人，人做到了，心悟到了，相信屬于你的風景就在下一個拐彎處。10、有些事想開了，你就會明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎樣，最后收拾殘局的還是要靠你自己。11、人生的某些障礙，你是逃不掉的。與其費盡周折繞過去，不

16、如勇敢地攀登，或許這會鑄就你人生的高點。12、有些壓力總是得自己扛過去，說出來就成了充滿負能量的抱怨。尋求安慰也無濟于事，還徒增了別人的煩惱。13、認識到我們的所見所聞都是假象，認識到此生都是虛幻，我們才能真正認識到佛法的真相。錢多了會壓死你，你承受得了嗎?帶，帶不走，放，放不下。時時刻刻發(fā)悲心，饒益眾生為他人。14、夢想總是跑在我的前面。努力追尋它們，為了那一瞬間的同步，這就是動人的生命奇跡。15、懶惰不會讓你一下子跌倒，但會在不知不覺中減少你的收獲;勤奮也不會讓你一夜成功，但會在不知不覺中積累你的成果。人生需要挑戰(zhàn)，更需要堅持和勤奮!16、人生在世：可以缺錢，但不能缺德;可以失言，但不能失

17、信;可以倒下，但不能跪下;可以求名，但不能盜名;可以低落，但不能墮落;可以放松，但不能放縱;可以虛榮，但不能虛偽;可以平凡，但不能平庸;可以浪漫，但不能浪蕩;可以生氣，但不能生事。17、人生沒有筆直路，當你感到迷茫、失落時，找?guī)撞窟@種充滿正能量的電影，坐下來靜靜欣賞，去發(fā)現(xiàn)生命中真正重要的東西。18、在人生的舞臺上，當有人愿意在臺下陪你度過無數(shù)個沒有未來的夜時，你就更想展現(xiàn)精彩絕倫的自己。但愿每個被努力支撐的靈魂能吸引更多的人同行。第43頁，共44頁。1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅持運動。人最失敗的，莫過于對自己不負責任，連答應自己的事都辦不到，又何必抱怨這個世界都和

18、你作對？人生的道理很簡單，你想要什么，就去付出足夠的努力。2、時間是最公平的，活一天就擁有24小時，差別只是珍惜。你若不相信努力和時光，時光一定第一個辜負你。有夢想就立刻行動，因為現(xiàn)在過的每一天，都是余生中最年輕的一天。3、無論正在經(jīng)歷什么，都請不要輕言放棄，因為從來沒有一種堅持會被辜負。誰的人生不是荊棘前行，生活從來不會一蹴而就，也不會永遠安穩(wěn)，只要努力，就能做獨一無二平凡可貴的自己。4、努力本就是年輕人應有的狀態(tài)，是件充實且美好的事，可一旦有了表演的成分，就會顯得廉價，努力，不該是為了朋友圈多獲得幾個贊，不該是每次長篇贅述后的自我感動，它是一件平凡而自然而然的事，最佳的努力不過是：但行好事

19、，莫問前程。愿努力，成就更好的你！5、付出努力卻沒能實現(xiàn)的夢想，愛了很久卻沒能在一起的人，活得用力卻平淡寂寞的青春，遺憾是每一次小的挫折，它磨去最初柔軟的心智、讓我們懂得累積時間的力量；那些孤獨沉寂的時光，讓我們學會守候內(nèi)心的平和與堅定。那些脆弱的不完美，都會在努力和堅持下，改變模樣。6、人生中總會有一段艱難的路，需要自己獨自走完，沒人幫助，沒人陪伴，不必畏懼，昂頭走過去就是了，經(jīng)歷所有的挫折與磨難，你會發(fā)現(xiàn)，自己遠比想象中要強大得多。多走彎路，才會找到捷徑，經(jīng)歷也是人生，修煉一顆強大的內(nèi)心，做更好的自己！7、“一定要成功”這種內(nèi)在的推動力是我們生命中最神奇最有趣的東西。一個人要做成大事，絕不

20、能缺少這種力量，因為這種力量能夠驅(qū)動人不停地提高自己的能力。一個人只有先在心里肯定自己，相信自己，才能成就自己！8、人生的旅途中，最清晰的腳印，往往印在最泥濘的路上，所以，別畏懼暫時的困頓，即使無人鼓掌，也要全情投入，優(yōu)雅堅持。真正改變命運的，并不是等來的機遇，而是我們的態(tài)度。9、這世上沒有所謂的天才，也沒有不勞而獲的回報，你所看到的每個光鮮人物，其背后都付出了令人震驚的努力。請相信，你的潛力還遠遠沒有爆發(fā)出來，不要給自己的人生設(shè)限，你自以為的極限，只是別人的起點。寫給渴望突破瓶頸、實現(xiàn)快速跨越的你。10、生活中，有人給予幫助，那是幸運，沒人給予幫助，那是命運。我們要學會在幸運青睞自己的時候?qū)W會感恩，在命運磨練自己的時候?qū)W會堅韌。這既是對自己的尊重，也是