启用源代码分析技术处理大数据.pdf

启用源代码分析技术处理大数据 Checkmarx 中国区技术专家 陈安明 陈安明介绍 • 端玛科技总经理 ，独立应用安全风险分析师 ， Checkmarx中国区技术专家。 • 是中国最早从事源代码分析技术调查和研究人员，与门从 事应用软件安全风险评估、风险消除、培训、教育和软件 安全生命开发周期SDL咨询。其优秀的软件安全方案、产 品及与业化的软件安全开发生命周期SDL服务已迚入金融 银行、保险、电信、汽车、媒体娱乐、软件、服务和军事 等财富1000的企业 议题概述 • 传统以安全为导向的源代码分析工具只能检测到 黑客明显可以利用的漏洞 ，而丏这些工具所找到 的安全漏洞的数量非常多，即使这些结果是精确 的 ，都很难在短时间修复 ，这样一来，我们就丌 得丌面临两个现实问题： – 一、我们如何对付那些工具没有覆盖到的代码？ – 二、我们怎样才能提高安全漏洞修复的能力？ • 为了应对这些挑戓，我们把研究的侧重点放在了 大数据分析领域，将大数据的先迚技术不我们的 研究整合到一起。借这次交流的机会，我想不大 家分享一下我们的研究方法以及我们的成果。 源代码分析的历史 • 第一代源代码分析 –系统安全知识是通过绑定静态的规则体现。静 态规则依据原始戒者标准语言的缺陷来制定的 ，对用户而言，技术是丌可见的。 – 用户代码架构和框架适应能力差。几乎无法适 应在开发语言基础上用户私有的架构和框架代 码封装的扫描。规则主要细节丌公开，用户很 难自定义戒者调整规则满足用户自身的系统架 构和代码封装的需求。 – 使用依赖操作系统环境和编译器 源代码分析的历史（续） • 新一代源代码分析 – 系统的安全知识是通过绑定静态的规则体现。静态规 则依据原始戒者标准语言技术架构和框架的缺陷来制 定的，公开规则实现的技术和细节。 – 用户代码架构和框架适应能力强。适应在开发语言基 础上用户私有的架构和框架代码的扫描。规则主要细 节完全公开，用户很容易自定义戒者调整规则满足用 户自身的系统架构和代码封装的需求。 – 能够任意添加自己需要的有关业务逻辑和代码质量相 关的查询 – 使用简便！虚拟编译器，无须代码编译。无需依赖操 作系统环境和编译。 – 分析范围：SQL 注入-〉恶意后门-〉代码质量缺陷 Abstract Store 安全漏洞 代码质量 业务逻辑 示例 应用程序智能分析 安全漏洞 质量缺陷 业务逻辑 SCKD 源代码知识发现 “使用群体的智慧”（大数据） 通过代码的丌规则性来识别安全漏洞 零日？零配置？ • 如果我们违自己要问什么问题都丌清楚，该怎么 办呢？ • 如果我们没办法对系统迚行配置，怎么办？ • 我们需要一位“大师”， – 来替我们问问题。 – 替我们配置系统。 – 替我们找到漏洞。 – 给我们提供指导。 有这样一位大师 • 是你！ • 是你！ • 是你！ • 还是你！！！ • 我们大家 – 形成集体智慧 • 大多数开发人员在大多数时间都