一图看懂软件缺陷检查涉及的内容
1. 引言
常常被老婆说:“每天弄到三更半夜,不知道你在搞什么!”。
亦或总是被朋友说:“都不知道你在说什么,尽发些看不懂的博客!”。
亦或总是被老大说:“你一句话说不清楚,就不要说了!”。
每每这个时刻,头脑中总是闪过无数的内容,千头万序,不知该从何说起。。。。。。
终于在再次被批的时候,头脑中电光一闪,是不是可以这样。。。
在回家的地铁上构思了几天。终于在晚上给小的讲完故事后,弄了个初稿出来,这下是不是能看懂些了?
2. 软件开发中缺陷的引入
2.1. 软件开发
软件是一系列按照特定顺序组织的计算机数据和指令的集合,用于完成设定的功能。软件已经融入到我们生活的方方面面,例如我们熟悉的计算数据、购物、交友、导航、游戏、点菜、支付等等。这些软件是经过软件设计人员的设计之后,由程序员通过某种程序语言完成编写。
2.2. 漏洞的形成
是人总会犯错误。这里有客观的原因,也有主观的原因。客观的原因是设计和开发人员对软件的安全缺乏认识,在设计和开发过程中,不知觉地引入了安全问题。目前来看设计引入的安全问题占了已知软件缺陷问题的一半以上;另一部分是开发过程中,由程序员引入的。所以软件的安全需要从设计阶段开始防范,加强设计和开发人员的软件安全培训;同时在软件编写阶段,通过静态检查工具检测可能发生的潜在安全问题,这也是目前流行的说法“安全左移”,而不能等到测试阶段再来完成安全检查。还有一小部分,则是由于缺少职业道德的程序员或别有用心的人员,在编写过程中直接写入的,我们通常称为“后门”。这些后门,在特定情况下会被启用,用于破环、监听、勒索等不正当的目的。对于这类软件缺陷问题,主要通过加强对程序员职业操守的培训来避免。
2.3. 缺陷漏洞的发现
这些无意的和有意的软件缺陷,在使用过程中,被人们无意或有意的发现了,成为已知漏洞。程序中还存在很多未知的漏洞。黑客往往采用嗅探(近似遍历)的方法,寻找这些已知漏洞,然后利用这些找到的漏洞,一步步的入侵你的计算机系统,得到控制权。
3. 漏洞库
为了降低漏洞造成的危害,国家层面会成立一个漏洞管理组织,用于漏洞信息的统一发布,例如我国的CNNVD,美国NVD,就是这样的组织。
3.1. 缺陷(CVE)
每一个被报告的缺陷称为一个"通用漏洞披露"(Common Vulnerabilities and Exposures (CVE)), 并按年份进行了编号。 例如,我们熟悉的心脏滴血(Heartbleed)漏洞的CVE编号是CVE-2014-0160。它可以利用网络传输协议漏洞窃取你的账号、密码等加密信息。
3.2. 缺陷分类(CWE)
为了便于缺陷的管理,于是有了"通用缺陷枚举"(Common Weakness Enumeration(CWE))对缺陷进行分类和甄别,每种分类或缺陷被赋予了一个CWE编号,便于人们交流时明确具体的问题,避免由于对缺陷描述的差异而造成歧义。更多的介绍可以看:
3.3. 缺陷危害评估
每个缺陷造成的危害是不一样,为了评估缺陷的危害程度,有了"通用漏洞评分系统"(Common Vulnerability Scoring System(CVSS)), 得分基于一系列维度上的测量结果进行度量打分。漏洞的最终得分最大为10,最小为0。
- 严重漏洞:得分7~10的漏洞;
- 中级漏洞:得分在4~6.9之间;
- 低级漏洞:得分在0~3.9之间。
4. 高危漏洞
我们平时在软件开发的过程中,需要注意哪些高危的安全问题?或者检查工具应该重点防范那些安全问题?
4.1. 最危险的25种缺陷(CWE TOP 25)
CWE的组织每年会将过去一年缺陷库(NVD)中的漏洞, 按照发生数量和危害程度进行评分,得到最需要防范的25种软件缺陷,放到CWE的版本中进行发步。可以参看《CWE发布2021年最危险的25种软件缺陷》。
4.2. web应用最危险的10种缺陷(OWASP TOP 10)
开放的社区"Web应用程序安全性项目(Open Web Application Security Project (OWASP))", 每3-4年也会统计Web应用中,公布危害最大的10种软件缺陷。这个信息也会被CWE收录到CWE的新版本中。可以参看《CWE 4.6 和 OWASP TOP10(2021)》。
5. 各种安全规范
软件的漏洞危害会给组织带来经济或声誉上极大的伤害。所以在软件的开发过程中,通常采用编码规范的方式,来提醒和约束程序员的开发过程,以确保程序中减少安全风险。
这些规范按照来源和用途大致可以分为以下几种:
5.1. 通用编程规范
卡内基梅隆大学(Carnegie Mellon University)的软件工程院(Software Engineering Institute(SEI))的CERT部门是网络安全领域的领导者,也是政府、行业、执法和学术界的合作伙伴。CERT部门的目标是提高计算机系统和网络的安全性和弹性。 CERT专家开发了先进的方法和技术来应对大规模复杂的网络威胁,并与M国土安全局紧密合作,设定了数据收集和挖掘、统计和趋势分析、计算机和网络安全、事件管理、内部威胁和软件保证等领域的研究目标。他们先后发布了C、C++、Java的编码规范,这些规范几乎成了业界编码规范的主要参考依据或重要组成部分。
- SEI CERT C Coding Standard (2016 Edition)
- SEI CERT C++ Coding Standard (2016 Edition)
- SEI CERT Oracle Coding Standard for Java
5.2. 行业规范
软件应用的各个行业依据行业特点,也先后发布了各自的行业编码规范。
-
汽车行业
-
航空业
-
金融行业
-
食品医药行业
5.3. 国际标准化组织
- ISO-17961 Information technology—Programming languages, their environments and system software interfaces—C secure coding rules
- ISO/IEC DIS 5055 Information technology — Software measurement — Software quality measurement — Automated source code quality measures
可以参考《自动源代码质量度量(ISO/IEC 5055)》
5.4. 国家标准或出版物
各个国家也都为安全编码推行了不少的编码标准或是出版物。
5.4.1. 国标
5.4.2. 美国国家标准技术研究院(NIST)
美国国家标准技术研究院发布的标准系列文件中,计算机相关的标准主要放在SP500和SP800(SP是Special Publications的缩写)。虽然NIST SP并不作为正式法定标准,但在实际工作中,已经得到美国和国际安全界广泛认可,并成为重要的标准。
-
- NIST SP 500-268 Source Code Security Analysis Tool Function Specification Version 1.1:描述软件安全分析工具的功能规格;
- NIST SP 500-326 SATE V Report:Ten Years of Static Analysis Tool Expositions: 静态分析工具大会, 重点描述了静态分析工具的评估方法。
-
信息安全SP800
SP800发布的一系列关于信息安全的指南,成为指导美国信息安全管理建设的主要标准和参考资料。它们专门为美国联邦机构提供基线和框架,是联邦信息安全管理法案(FISMA)合规性的重要组成部分。
5.4.3. 软件缺陷检查工具
上面这些各种安全规范,是不可能通过人工对代码一个个的去检查和审核的,这需要静态分析工具能够适配这些编码规范,自动化的完成这些规范的检查,尽可能的在软件发布之前,完成这些缺陷的检测和修复,以降低软件潜在的安全风险。所以静态检查工具在软件安全中扮演着非常重要的守护作用。
对于业界静态分析工具的主要领导者,可以参见《Gartner 魔力四象限 – 应用安全检测》
6. 总结
- 这个图更多的是从如何减少软件缺陷出发,展示了业界发布的各种编码规范中的一部分,这些规范都是静态检查工具在检查的过程中需要完成覆盖的;
- 这个图还缺少很多部分:
- 静态检查工具对隐私保护的遵从;
- 软件安全防护或攻击的各种框架,例如ATT&CK攻击框架;
- 静态检查工具能力的评估
- 软件安全检查极具挑战性,目前的主要理论和技术研究都是欧美完成的。希望有更多的软件开发人员能够投入到这个领域,为国产的静态软件分析做出贡献。
- 点赞
- 收藏
- 关注作者
评论(0)