左移測試,如何確保安全合規還能實現高度自動化?

支付寶技術團隊發表於2023-10-30

「雲原生安全既是一種全新安全理念,也是實現雲戰略的前提。

基於螞蟻集團內部多年實踐,雲原生PaaS平臺SOFAStack釋出完整的軟體供應鏈安全產品及解決方案,包括靜態程式碼掃描Pinpoint,軟體成分分析SCA,互動式安全測試IAST,執行時防護RASP,安全洞察Appinsight等,幫助企業客戶應用軟體實現『釋出前檢測,執行時免疫』。

本週,我們將持續分享解讀四大產品。」

數字化時代軟體已經成為人類社會基礎設施的重要組成部分,軟體與個人生活、社會民生、國家發展均日漸緊密,如何更好的保障軟體安全成為各行業關注的焦點。

相關資料顯示,75%的駭客攻擊發生在應用層。一款軟體產品從開發,測試,上線,在各個階段均存在引入安全風險的可能,例如危險開源元件的使用、自研程式碼缺陷漏洞引入、容器映象漏洞引入等。這些風險會導致軟體系統的整體安全防護難度越來越大,以上這些風險,統稱為軟體供應鏈安全風險。

SOFAStack靜態程式碼安全掃描產品Pinpoint是國內應用實踐最廣泛的靜態程式碼安全產品之一, 近期首批入選中國信通院「軟體供應鏈安全」產品名錄,並透過了公安部計算機資訊系統安全產品質量監督檢測中心權威測評,符合《資訊保安技術軟體原始碼安全缺陷產品檢測條件》相關要求。

左移測試,Pinpoint實現靜態程式碼掃描

靜態程式碼掃描是指在不執行程式碼的方式下,透過詞法分析、語法分析、控制流、資料流分析等技術對軟體程式碼進行掃描,驗證程式碼是否滿足規範性、安全性、可靠性、可維護性等指標的一種程式碼分析技術。

五大優勢,快速完成百萬行程式碼檢測

SOFAStack靜態程式碼安全掃描產品Pinpoint透過自研的分析引擎技術,能夠在均衡分析精度、速度、深度的同時得到較好的分析結果。產品無需構造測試用例,即可自動尋找軟體編碼錯誤,可以讓程式設計師迅速理解和修復問題,從而投入更多的時間到創造性的工作中。

  • 分析能力精準:Pinpoint採用了更為先進的靜態分析技術,能找到更多和更難以人工找到的軟體問題。這主要得益於Pinpoint獨創的符號約束模型,高精度的指標分析和快速的約束求解演算法,能對大型軟體進行精確的全路徑和深度的函式呼叫上下文分析,減少誤報產生。
  • 覆蓋全面:Pinpoint的分析能力覆蓋完整系統,進行跨模組跨函式的全文分析。多套分析引擎可同時覆蓋程式碼安全漏洞,程式碼質量缺陷,程式碼風格合規等分析場景。
  • 分析快速:對於動輒上百萬行程式碼,且每分鐘都在更新的大型軟體而言,極難做到快速反應。Pinpoint採取多檔位掃描技術,用輕量級分析,快速查詢邏輯相對簡單的錯誤。根據測試,對於Java程式碼,Pinpoint能在1小時內完成百萬行程式碼級別的專案分析。
  • 適應不同分析場景:Pinpoint是市面上一款可覆蓋原始碼掃描,二進位制審計,應用依賴審計三種分析方式的靜態分析產品。適應系統外包開發,系統內部開發,系統增量部署,中介軟體封裝等多種開發場景。對於沒有程式碼的應用,Pinpoint能夠基於反編譯後的程式碼進行展示,達到函式級別的程式碼匹配。
  • 易於理解和修復的缺陷解釋:在具有優越的找錯能力的同時,Pinpoint 能夠給出準確的錯誤觸發路徑,以此來助力程式設計師理解和修復發現的軟體問題。

典型案例:金融、製造多領域落地應用

目前,Pinpoint產品已經在金融、製造、教育、網際網路等行業規模化落地實踐,包括南京銀行、浙江農信、中泰證券、珠海格力、廣東電網等。

中泰證券,Pinpoint產品與中泰自研蜂鳥效能平臺專案進行對接,在整合構建階段,實現原始碼的自動化掃描,滿足證券行業《證券公司網路和資訊保安三年提升計劃(2023-2025)》相關要求。

在廣東電網資訊測評實驗室,Pinpoint支撐了ARM架構下執行的程式的原始碼分析工作,支援原始碼掃描與分析、程式碼掃描策略配置、缺陷管理、安全知識庫等功能,幫助實驗室建立了自主可控作業系統下的原始碼分析的能力,完成多程式語言的原始碼安全缺陷分析工作。

珠海格力,基於Pinpoint增強的C/C++掃描能力,產品支援格力在嵌入式場景下錯誤異常處理,邏輯錯誤,記憶體與資源誤用等問題檢測,滿足中國電子行業軟體測試標準SJ/T 11682-2017(C/C++)標準,幫助格力更好的進行智慧裝備關鍵技術及產品的研發。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69904796/viewspace-2991796/,如需轉載,請註明出處,否則將追究法律責任。

相關文章