应用系统安全白皮书选择静态分析工具(SAST)的六大评估项目.PDFVIP

GSS 資安電子報 第 0097 期 / 發刊日期：2013 年 10 月 應用系統安全白皮書: 選擇靜態分析工具(SAST)的六大評估項目 文章來源 ：廠商提供 翻譯整理 ：叡揚資訊 資訊安全事業處 該如何挑選擇靜態分析工具 (SAST, static application security testing) 是從安全專家、稽核人員、開發人員都會面臨的問題。選擇一 個好的工具需要考量不同的層面，以下為挑選工具時的需求： 1. 支援語言 ：確認SAST 工具支援所使用的語言。 2. 存取原始碼及binary code 。部份SAST 工具只會檢測原始碼， 但有些會連同binary 一同處處理。相較於原始碼檢測，binary 檢 測需連同建置環境一併提供，以便進行檢測。 3. 部署。確認SAST 工具作業方式：於單位內部或是採用雲端架構。 4. 對於組織內部程式碼安全訂定責任歸屬。定義在組織中如何管控程式碼的安全性。如有個專門 的團隊( 審核團隊、資訊安全團隊) 專職負責組織內的安全事務。另一方面也有組織認為每個開 發團隊都需要專人負責安全。這些管理政策將影響SAST 工具的部署架構、授權與工具的用法。 階段一：安裝 簡易安裝，應包含以下步驟： 1. 資源。工具安裝為自動安裝還是手動安裝。若手動安裝，需考量安裝過程中所需的技能以及安裝 花費的工時。 2. 彈性。若為用戶端軟體，需安裝在每個終端的設備中，並要求每位開發團隊暫時無法作業，以便 進行安裝。另一種集中管理的安裝只需進行一次。 3. 授權 。某些授權的架構是需於各終端設備皆需自己的授權。某些的授權是集中管理的，可減少需 要多個授權的管理。 階段二：設定 需考量以下2 個因素： 台北總公司：10461 台北市中山區德惠街 9 號 5 樓 TEL ︰(02) 2586-7890 FAX ：(02) 2586-8787 高雄辦公室︰80453 高雄市明華路 317 號 6 樓 TEL ︰(07) 586-6195 海外據點：上海、北京 營業範圍：兩岸三地及日本 .tw 1 GSS 資安電子報 第 0097 期 / 發刊日期：2013 年 10 月 1. 困難度及複雜度 ● 單純。檢測工作需越簡單越好。檢測原始碼工具的操作不應加重使用者的工作量。 ●語言的擴展性。增加一個新的語言對於檢測來說不需再修改設定即可支援新的語言。 2. 檢測時間 。無論任何的工具，皆需花費時間 在這邊需考量工具的特性或不同的檢測方式，讓花費的時間有機會加速。如對於開發團隊來說在 大型專案中會需要只先針對專案中部份程式檢測。 階段三：檢測能力 檢測功能包含： 1. 語言支援範圍。工具應不只包含現有的語言，應考量未來新語言的擴充。像是行動裝置或是發展 中的語言(Android, Objective C, Ruby on Rails) 2. Framework 的支援範圍。支援Framework 讓SAST 工具更能識別原始碼的弱點以及減少因為 不認得Framework 造成的誤判。 3. 多個檢測。同時運行數個掃描或是支援多工處理。 4. 弱點涵蓋率。SAST 工具應包含以下幾種類型的弱點：
● 技術安全弱點。偵測已定義常見弱點如OWASP TOP 10, Sans, CWE 。由於每種工具的 ●分類方式不同。因此以符合規範來做為弱點涵蓋率比較。
● 商業邏輯缺陷。包含應用系統中的驗證方式或是後門。
●最佳撰寫實務。包含錯誤處理與資源競爭。 5. 結果的準確性。為確保結果的精準性，工具應將檢測結果與已知驗證案例比對。通常會使用 OWASP WebGoat 專案做為驗證案例。然而，真正困難的是針對一個未知的應用系統來進行檢 測，並能主動調整測試環境以防止發生以下情況：
●True Positives (TPs) 的數量 ：事實為真，猜測也為真，則為正確猜對
● False Positives (FPs) 的數量 ：事實為假，猜測為真，則為誤報。現今沒有一個工具能輸出 完全無FP 的檢測，但仍會以最少數量的FP 為目標。 6. 客製化能力。能適應不同程式frameworks