白盒代码审计系统建设实践

静态代码分析是指在不实际执行程序的情况下，对代码语义和行为进行分析，由此找出程序中由于错误的编码导致异常的程序语义或未定义的行为。通俗的说，静态代码分析就是在代码编写的同时就能找出代码的编码错误。你不需要等待所有代码编写完毕，也不需要构建运行环境，编写测试用例。它能在软件开发流程早期就发现代码中的各种问题，从而提高开发效率和软件质量。

静态AST（SAST）技术通常在编程和/或测试软件生命周期（SLC）阶段分析应用程序的源代码，字节代码或二进制代码以查找安全漏洞。

商业产品分析Coverity、Fortify、CheckMarx 作为白盒静态扫描领域的产品，拥有极其深厚的技术积累以及的产品技术团队。其产品能力都为业界。笔者曾经和Coverity的售前及***团队有过一定的交流，可以总结以上商业产品的优点及缺点优点深厚的技术积累，产品能力强大，在SAST领域内少有不支持扫描的漏洞类型

***团队，能较为理解用户需求缺点定制化需求支持困难，引擎对用户不透明，需求提交给厂商响应时长为 Month ++

规则学习成本高，规则学习文档不完善，自定义规则困难

厂商以大并发量***license，弹性扩容能力差，存在成本浪费

漏洞模型难以适配每个用户自己内部的漏洞模型，难以准确处理误报、漏洞修复复查等业务需求

融入企业自身的CI/CD流程困难，数据模型需要企业自己转换

代码审计的应用

源代码作为企业核心商业，受到了高度重视和保护。然而由于其自身存在的安全缺陷、软件缺乏安全设计、不良的编程习惯等因素，使得注入、敏感信息***、命令执行等风险漏洞频频发生，给***行业造成重大损失。因此，对源代码进行安全审计、提前发现系统漏洞、找出应用系统潜在风险、给出相应安全报告和修复方法成为提升用户应用系统安全性、保障软件源代码、设计、开发和应用的重要手段。

多年来持续深耕***行业，始终为广大***行业用户提供高质量的产品和服务，源代码安全审计服务作为专项技术检测服务的***内容，已在诸多***行业项目中得到实践运用，获得用户一致认可。

代码安全审计的两种方式

1、人工审计

      人工审核是代码审核的关键因素，也是准确和的解决方案。人工审核依托于技术人员的安全编码经验、渗透测试经验以及新的知识库，能够有效的发现深层次的高风险安全漏洞，包括业务逻辑安全漏洞。在网上待测系统重要的业务场景中，很多高风险的安全漏洞都隐藏的比较深，只有通过经验丰富的安全人员进行人工审计才能发现相关的问题。同时，在人工审核的的过程中实施人员在集中发现安全缺陷的同时也会关注目标系统的合规性问题。通过对目标系统的源代码进行人工审核，可以有效的降低安全风险，提高系统安全性、健壮性和合规性。在开发阶段就发现安全问题，而不是将安全问题带入生产系统后才被发现并解决，课余有效的控制系统的研发成本。

2、自动化审计

      采用自动化的代码审计工具辅助审核，依赖于自动化工具的强大的安全编码规则集。能够快速的对常规的安全漏洞进行发现和***，有助于提高代码审计的工作效率和覆盖度，是一种常用的辅助手段。