हे हबर!
अपने काम में, हमारी कंपनी अक्सर विभिन्न स्थैतिक कोड विश्लेषण उपकरण (एसएएसटी) से निपटती है। आउट ऑफ द बॉक्स वे सभी औसत रूप से काम करते हैं। निःसंदेह, यह सब परियोजना और उसमें प्रयुक्त प्रौद्योगिकियों पर निर्भर करता है, साथ ही यह भी कि ये प्रौद्योगिकियाँ विश्लेषण के नियमों द्वारा कितनी अच्छी तरह कवर की जाती हैं। मेरी राय में, SAST टूल चुनते समय सबसे महत्वपूर्ण मानदंडों में से एक इसे आपके अनुप्रयोगों की विशिष्टताओं के अनुसार अनुकूलित करने की क्षमता है, अर्थात्, विश्लेषण नियम लिखना और बदलना या, जैसा कि उन्हें अक्सर कस्टम क्वेरीज़ कहा जाता है।
हम अक्सर चेकमार्क्स का उपयोग करते हैं - एक बहुत ही रोचक और शक्तिशाली कोड विश्लेषक। इस लेख में मैं इसके लिए विश्लेषण नियम लिखने के अपने अनुभव के बारे में बात करूंगा।
लेख-सूची
प्रवेश
आरंभ करने के लिए, मैं चेकमार्क्स के लिए प्रश्न लिखने की विशेषताओं के बारे में रूसी में कुछ लेखों में से एक की सिफारिश करना चाहूंगा। इसे 2019 के अंत में हैबे पर शीर्षक के तहत प्रकाशित किया गया था: .
यह विस्तार से जांच करता है कि कुछ परीक्षण अनुप्रयोगों के लिए CxQL (चेकमार्क्स क्वेरी लैंग्वेज) में पहली क्वेरी कैसे लिखी जाए और विश्लेषण नियम कैसे काम करते हैं इसके बुनियादी सिद्धांतों को दिखाता है।
इसमें जो वर्णित है उसे मैं नहीं दोहराऊंगा, हालांकि कुछ चौराहे अभी भी मौजूद होंगे। अपने लेख में मैं एक प्रकार के "व्यंजनों का संग्रह" संकलित करने का प्रयास करूंगा, जो कि चेकमार्क्स के साथ मेरे काम के दौरान मेरे सामने आने वाली विशिष्ट समस्याओं के समाधान की एक सूची है। इनमें से कई समस्याओं पर मुझे बहुत दिमाग लगाना पड़ा। कभी-कभी दस्तावेज़ में पर्याप्त जानकारी नहीं होती थी, और कभी-कभी यह समझना भी मुश्किल होता था कि जो आवश्यक था उसे कैसे किया जाए। मुझे आशा है कि मेरा अनुभव और रातों की नींद व्यर्थ नहीं जाएगी, और यह "कस्टम क्वेरी व्यंजनों का संग्रह" आपके कुछ घंटे या कुछ तंत्रिका कोशिकाओं को बचाएगा। तो, चलिए शुरू करते हैं!
नियमों पर सामान्य जानकारी
आगे क्या होगा इसकी बेहतर समझ के लिए सबसे पहले आइए कुछ बुनियादी अवधारणाओं और नियमों के साथ काम करने की प्रक्रिया पर नजर डालें। और इसलिए भी कि दस्तावेज़ इस बारे में कुछ नहीं कहता है या संरचना में बहुत फैला हुआ है, जो बहुत सुविधाजनक नहीं है।
-
प्रारंभ में चयनित प्रीसेट (सक्रिय नियमों का एक सेट) के आधार पर नियम स्कैनिंग के दौरान लागू होते हैं। आप असीमित संख्या में प्रीसेट बना सकते हैं, और उन्हें कैसे व्यवस्थित किया जाए यह आपकी प्रक्रिया की बारीकियों पर निर्भर करता है। आप उन्हें भाषा के आधार पर समूहित कर सकते हैं या प्रत्येक प्रोजेक्ट के लिए प्रीसेट का चयन कर सकते हैं। सक्रिय नियमों की संख्या स्कैनिंग की गति और सटीकता को प्रभावित करती है।
चेकमार्क्स इंटरफ़ेस में प्रीसेट सेट करना -
नियमों को CxAuditor नामक एक विशेष टूल में संपादित किया जाता है। यह एक डेस्कटॉप एप्लिकेशन है जो चेकमार्क्स चलाने वाले सर्वर से कनेक्ट होता है। इस टूल में ऑपरेशन के दो तरीके हैं: नियमों को संपादित करना और पहले से किए गए स्कैन के परिणामों का विश्लेषण करना।
सीएक्सऑडिट इंटरफ़ेस -
चेकमार्क्स में नियमों को भाषा के आधार पर विभाजित किया गया है, यानी प्रत्येक भाषा के पास प्रश्नों का अपना सेट होता है। कुछ सामान्य नियम भी हैं जो भाषा की परवाह किए बिना लागू होते हैं, ये तथाकथित बुनियादी प्रश्न हैं। अधिकांश भाग के लिए, बुनियादी प्रश्नों में अन्य नियमों द्वारा उपयोग की जाने वाली जानकारी की खोज शामिल होती है।
भाषा के आधार पर नियमों का विभाजन -
नियम "निष्पादन योग्य" और "गैर-निष्पादन योग्य" (निष्पादित और निष्पादित नहीं) हैं। मेरी राय में, बिल्कुल सही नाम नहीं है, लेकिन यही है। लब्बोलुआब यह है कि "निष्पादन योग्य" नियमों को निष्पादित करने का परिणाम यूआई में स्कैनिंग परिणामों में प्रदर्शित किया जाएगा, और "गैर-निष्पादन योग्य" नियमों की आवश्यकता केवल अन्य अनुरोधों में उनके परिणामों का उपयोग करने के लिए है (वास्तव में, वे सिर्फ एक फ़ंक्शन हैं) ).
बनाते समय नियम प्रकार का निर्धारण करना -
आप नए नियम बना सकते हैं या मौजूदा नियमों को पूरक/पुनर्लिखित कर सकते हैं। किसी नियम को फिर से लिखने के लिए, आपको इसे पेड़ में ढूंढना होगा, राइट-क्लिक करें और ड्रॉप-डाउन मेनू से "ओवरराइड" चुनें। यहां यह याद रखना महत्वपूर्ण है कि नए नियम प्रारंभ में प्रीसेट में शामिल नहीं हैं और सक्रिय नहीं हैं। उनका उपयोग शुरू करने के लिए आपको उन्हें उपकरण में "प्रीसेट मैनेजर" मेनू में सक्रिय करना होगा। दोबारा लिखे गए नियम अपनी सेटिंग्स बनाए रखते हैं, यानी, यदि नियम सक्रिय था, तो यह वैसा ही रहेगा और तुरंत लागू किया जाएगा।
प्रीसेट मैनेजर इंटरफ़ेस में एक नए नियम का उदाहरण -
निष्पादन के दौरान, अनुरोधों का एक "वृक्ष" बनाया जाता है, जो किस पर निर्भर करता है। जानकारी एकत्रित करने वाले नियमों को पहले क्रियान्वित किया जाता है और इसका उपयोग करने वालों को बाद में। निष्पादन परिणाम कैश्ड है, इसलिए यदि किसी मौजूदा नियम के परिणामों का उपयोग करना संभव है, तो ऐसा करना बेहतर है, इससे स्कैनिंग का समय कम हो जाएगा।
-
नियम विभिन्न स्तरों पर लागू किए जा सकते हैं:
-
संपूर्ण सिस्टम के लिए - किसी भी प्रोजेक्ट की स्कैनिंग के लिए उपयोग किया जाएगा
-
टीम स्तर पर (टीम) - केवल चयनित टीम में परियोजनाओं को स्कैन करने के लिए उपयोग किया जाएगा।
-
परियोजना स्तर पर - एक विशिष्ट परियोजना में लागू किया जाएगा
उस स्तर का निर्धारण करना जिस पर नियम लागू किया जाएगा
शुरुआती लोगों के लिए "शब्दकोश"।
और मैं उन कुछ चीजों से शुरुआत करूंगा जिनके कारण मेरे मन में सवाल उठे, और मैं कई तकनीकें भी दिखाऊंगा जो जीवन को काफी सरल बना देंगी।
सूचियों के साथ संचालन
- вычитание одного из другого (list2 - list1)
* пересечение списков (list1 * list2)
+ сложение списков (list1 + list2)
& (логическое И) - объединяет списки по совпадению (list1 & list2), аналогично пересечению (list1 * list2)
| (логическое ИЛИ) - объединяет списки по широкому поиску (list1 | list2)
Со списками не работает: ^ && || % / सभी पाए गए आइटम
स्कैन की गई भाषा में, आप उन सभी तत्वों की एक सूची प्राप्त कर सकते हैं जिन्हें चेकमार्क्स ने पहचाना है (स्ट्रिंग्स, फ़ंक्शंस, क्लासेस, मेथड्स, आदि)। यह वस्तुओं का कुछ स्थान है जिसके माध्यम से पहुँचा जा सकता है All. अर्थात् किसी विशिष्ट नाम से किसी वस्तु की खोज करना searchMe, उदाहरण के लिए, आप सभी पाए गए ऑब्जेक्टों में नाम से खोज सकते हैं:
// Такой запрос выдаст все элементы
result = All;
// Такой запрос выдаст все элементы, в имени которых присутствует “searchMe“
result = All.FindByName("searchMe");लेकिन, यदि आपको किसी अन्य भाषा में खोज करने की आवश्यकता है जो किसी कारण से स्कैन में शामिल नहीं थी (उदाहरण के लिए, एंड्रॉइड प्रोजेक्ट में ग्रूवी), तो आप एक वेरिएबल के माध्यम से हमारे ऑब्जेक्ट स्पेस का विस्तार कर सकते हैं:
result = AllMembers.All.FindByName("searchMe");प्रवाह विश्लेषण के लिए कार्य
इन फ़ंक्शंस का उपयोग कई नियमों में किया जाता है और उनका क्या मतलब है इसकी एक छोटी सी चीट शीट यहां दी गई है:
// Какие данные second влияют на first.
// Другими словами - ТО (second) что влияет на МЕНЯ (first).
result = first.DataInfluencedBy(second);
// Какие данные first влияют на second.
// Другими словами - Я (first) влияю на ТО (second).
result = first.DataInfluencingOn(second);फ़ाइल नाम/पथ प्राप्त करना
ऐसी कई विशेषताएँ हैं जो किसी क्वेरी के परिणामों से प्राप्त की जा सकती हैं (फ़ाइल का नाम जिसमें प्रविष्टि मिली थी, स्ट्रिंग, आदि), लेकिन दस्तावेज़ यह नहीं बताता है कि उन्हें कैसे प्राप्त करें और उनका उपयोग कैसे करें। तो, ऐसा करने के लिए, आपको LinePragma प्रॉपर्टी तक पहुंचने की आवश्यकता है और जिन वस्तुओं की हमें आवश्यकता है वे इसके अंदर स्थित होंगी:
// Для примера найдем все методы
CxList methods = Find_Methods();
// В методах найдем по имени метод scope
CxList scope = methods.FindByName("scope");
// Таким образом можо получить путь к файлу
string current_filename = scope.GetFirstGraph().LinePragma.FileName;
// А вот таким - строку, где нашлось срабатывание
int current_line = scope.GetFirstGraph().LinePragma.Line;
// Эти параметры можно использовать по разному
// Например получить все объекты в файле
CxList inFile = All.FindByFileName(current_filename);
// Или найти что происходит в конкретной строке
CxList inLine = inFile.FindByPosition(current_line);यह बात ध्यान में रखने लायक है FileName इसमें वास्तव में फ़ाइल का पथ शामिल है, क्योंकि हमने विधि का उपयोग किया है GetFirstGraph.
निष्पादन परिणाम
CxQL के अंदर एक विशेष वेरिएबल है result, जो आपके लिखित नियम को निष्पादित करने का परिणाम लौटाता है। इसे तुरंत प्रारंभ किया जाता है और आप इसमें मध्यवर्ती परिणाम लिख सकते हैं, काम करते समय उन्हें बदल और परिष्कृत कर सकते हैं। लेकिन, यदि नियम के अंदर इस वेरिएबल या फ़ंक्शन के लिए कोई असाइनमेंट नहीं है return- निष्पादन परिणाम सदैव शून्य रहेगा।
निष्पादन के परिणामस्वरूप निम्नलिखित क्वेरी हमें कुछ भी नहीं लौटाएगी और हमेशा खाली रहेगी:
// Находим элементы foo
CxList libraries = All.FindByName("foo");लेकिन, निष्पादन परिणाम को मैजिक वैरिएबल परिणाम में निर्दिष्ट करने के बाद, हम देखेंगे कि यह कॉल हमें क्या लौटाती है:
// Находим элементы foo
CxList libraries = All.FindByName("foo");
// Выводим, как результат выполнения правила
result = libraries
// Или еще короче
result = All.FindByName("foo");अन्य नियमों के परिणामों का उपयोग करना
चेकमार्क्स में नियमों को नियमित प्रोग्रामिंग भाषा में कार्यों के अनुरूप कहा जा सकता है। नियम लिखते समय, आप अन्य प्रश्नों के परिणामों का अच्छी तरह से उपयोग कर सकते हैं। उदाहरण के लिए, हर बार कोड में सभी विधि कॉलों को खोजने की आवश्यकता नहीं है, बस वांछित नियम को कॉल करें:
// Получаем результат выполнения другого правила
CxList methods = Find_Methods();
// Ищем внутри метод foo.
// Второй параметр false означает, что ищем без чувствительности к регистру
result = methods.FindByShortName("foo", false);यह दृष्टिकोण आपको कोड को छोटा करने और नियम निष्पादन समय को काफी कम करने की अनुमति देता है।
समस्याओं को सुलझाने
लॉगिंग
टूल के साथ काम करते समय, कभी-कभी वांछित क्वेरी को तुरंत लिखना संभव नहीं होता है और आपको विभिन्न विकल्पों को आज़माकर प्रयोग करना पड़ता है। ऐसे मामले के लिए, टूल लॉगिंग प्रदान करता है, जिसे इस प्रकार कहा जाता है:
// Находим что-то
CxList toLog = All.FindByShortName("log");
// Формируем строку и отправляем в лог
cxLog.WriteDebugMessage (“number of DOM elements =” + All.Count);लेकिन यह याद रखने योग्य है कि यह विधि केवल इनपुट के रूप में स्वीकार करती है स्ट्रिंग, इसलिए पहले ऑपरेशन के परिणामस्वरूप पाए गए तत्वों की पूरी सूची प्रदर्शित करना संभव नहीं होगा। दूसरा विकल्प, जिसका उपयोग डिबगिंग के लिए किया जाता है, समय-समय पर एक मैजिक वेरिएबल को असाइन करना है result क्वेरी का परिणाम और देखें क्या होता है। यह दृष्टिकोण बहुत सुविधाजनक नहीं है; आपको यह सुनिश्चित करना होगा कि इसके बाद कोड में कोई ओवरराइड या संचालन नहीं है result या बस नीचे दिए गए कोड पर टिप्पणी करें। या आप, मेरी तरह, तैयार नियम से ऐसी कई कॉलों को हटाना भूल सकते हैं और आश्चर्य कर सकते हैं कि कुछ भी काम क्यों नहीं करता है।
विधि को कॉल करना अधिक सुविधाजनक तरीका है return आवश्यक पैरामीटर के साथ. इस स्थिति में, नियम का निष्पादन समाप्त हो जाएगा और हम देख पाएंगे कि हमने जो लिखा उसके परिणामस्वरूप क्या हुआ:
// Находим что-то
CxList toLog = All.FindByShortName("log");
// Выводим результат выполнения
return toLog
//Все, что написано дальше не будет выполнено
result = All.DataInfluencedBy(toLog)लॉगिन समस्या
ऐसी स्थितियाँ होती हैं जब आप CxAudit टूल (जिसका उपयोग नियम लिखने के लिए किया जाता है) तक नहीं पहुँच पाते हैं। इसके कई कारण हो सकते हैं, जिनमें क्रैश, अचानक विंडोज अपडेट, बीएसओडी और अन्य अप्रत्याशित स्थितियां शामिल हैं जो हमारे नियंत्रण से बाहर हैं। इस स्थिति में, कभी-कभी डेटाबेस में एक अधूरा सत्र होता है, जो आपको दोबारा लॉग इन करने से रोकता है। इसे ठीक करने के लिए, आपको कई क्वेरीज़ चलानी होंगी:
8.6 से पहले चेकमार्क्स के लिए:
// Проверяем, что есть залогиненые пользователи, выполнив запрос в БД
SELECT COUNT(*) FROM [CxDB].[dbo].LoggedinUser WHERE [ClientType] = 6;
// Если что-то есть, а на самом деле даже если и нет, попробовать выполнить запрос
DELETE FROM [CxDB].[dbo].LoggedinUser WHERE [ClientType] = 6;
8.6 के बाद चेकमार्क्स के लिए:
// Проверяем, что есть залогиненые пользователи, выполнив запрос в БД
SELECT COUNT(*) FROM LoggedinUser WHERE (ClientType = 'Audit');
// Если что-то есть, а на самом деле даже если и нет, попробовать выполнить запрос
DELETE FROM [CxDB].[dbo].LoggedinUser WHERE (ClientType = 'Audit');लेखन नियम
अब हम सबसे दिलचस्प हिस्से पर आते हैं। जब आप CxQL में नियम लिखना शुरू करते हैं, तो आपके पास अक्सर दस्तावेज़ीकरण की कमी नहीं होती है, बल्कि कुछ समस्याओं को हल करने और सामान्य रूप से क्वेरी ऑपरेशन की प्रक्रिया का वर्णन करने के कुछ जीवित उदाहरण होते हैं।
मैं उन लोगों के लिए जीवन को थोड़ा आसान बनाने का प्रयास करूंगा जो क्वेरी भाषा में गहराई से उतरना शुरू कर रहे हैं और कुछ समस्याओं को हल करने के लिए कस्टम क्वेरीज़ का उपयोग करने के कई उदाहरण दूंगा। उनमें से कुछ काफी सामान्य हैं और व्यावहारिक रूप से आपकी कंपनी में बिना किसी बदलाव के उपयोग किए जा सकते हैं, अन्य अधिक विशिष्ट हैं, लेकिन उनका उपयोग आपके अनुप्रयोगों की विशिष्टताओं के अनुरूप कोड को बदलकर भी किया जा सकता है।
तो, यहां वे समस्याएं हैं जिनका हमने सबसे अधिक बार सामना किया:
उद्देश्य: नियम को क्रियान्वित करने के परिणामों में कई प्रवाह होते हैं और उनमें से एक दूसरे का नेस्टिंग होता है, आपको उनमें से एक को छोड़ना होगा।
समाधान: दरअसल, कभी-कभी चेकमार्क्स कई डेटा प्रवाह दिखाता है जो ओवरलैप हो सकते हैं और दूसरों का संक्षिप्त संस्करण हो सकते हैं। ऐसे मामलों के लिए एक खास तरीका होता है प्रवाह कम करें। पैरामीटर के आधार पर, यह सबसे छोटा या सबसे लंबा प्रवाह का चयन करेगा:
// Оставить только длинные Flow
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceSmallFlow);
// Оставить только короткие Flow
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceBigFlow);उद्देश्य: संवेदनशील डेटा की सूची का विस्तार करें जिस पर उपकरण प्रतिक्रिया करता है
समाधान: चेकमार्क्स के बुनियादी नियम हैं, जिनके परिणाम कई अन्य प्रश्नों द्वारा उपयोग किए जाते हैं। इनमें से कुछ नियमों को अपने एप्लिकेशन के लिए विशिष्ट डेटा के साथ पूरक करके, आप तुरंत अपने स्कैन परिणामों में सुधार कर सकते हैं। आरंभ करने के लिए नीचे एक उदाहरण नियम दिया गया है:
सामान्य_गोपनीयता_उल्लंघन_सूची
आइए संवेदनशील जानकारी संग्रहीत करने के लिए हमारे एप्लिकेशन में उपयोग किए जाने वाले कई वेरिएबल जोड़ें:
// Получаем результат выполнения базового правила
result = base.General_privacy_violation_list();
// Ищем элементы, которые попадают под простые регулярные выражения. Можно дополнить характерными для вас паттернами.
CxList personalList = All.FindByShortNames(new List<string> {
"*securityToken*", "*sessionId*"}, false);
// Добавляем к конечному результату
result.Add(personalList);उद्देश्य: पासवर्ड के साथ वेरिएबल्स की सूची का विस्तार करें
समाधान: मैं कोड में पासवर्ड को परिभाषित करने और इसमें आपकी कंपनी में आमतौर पर उपयोग किए जाने वाले वेरिएबल नामों की एक सूची जोड़ने के बुनियादी नियम पर तुरंत ध्यान देने की सलाह दूंगा।
पासवर्ड_गोपनीयता_उल्लंघन_सूची
CxList allStrings = All.FindByType("String");
allStrings.Add(All.FindByType(typeof(StringLiteral)));
allStrings.Add(Find_UnknownReference());
allStrings.Add(All.FindByType(typeof (Declarator)));
allStrings.Add(All.FindByType(typeof (MemberAccess)));
allStrings.Add(All.FindByType(typeof(EnumMemberDecl)));
allStrings.Add(Find_Methods().FindByShortName("get*"));
// Дополняем дефолтный список переменных
List < string > pswdIncludeList = new List<string>{"*password*", "*psw", "psw*", "pwd*", "*pwd", "*authKey*", "pass*", "cipher*", "*cipher", "pass", "adgangskode", "benutzerkennwort", "chiffre", "clave", "codewort", "contrasena", "contrasenya", "geheimcode", "geslo", "heslo", "jelszo", "kennwort", "losenord", "losung", "losungswort", "lozinka", "modpas", "motdepasse", "parol", "parola", "parole", "pasahitza", "pasfhocal", "passe", "passord", "passwort", "pasvorto", "paswoord", "salasana", "schluessel", "schluesselwort", "senha", "sifre", "wachtwoord", "wagwoord", "watchword", "zugangswort", "PAROLACHIAVE", "PAROLA CHIAVE", "PAROLECHIAVI", "PAROLE CHIAVI", "paroladordine", "verschluesselt", "sisma",
"pincode",
"pin"};
List < string > pswdExcludeList = new List<string>{"*pass", "*passable*", "*passage*", "*passenger*", "*passer*", "*passing*", "*passion*", "*passive*", "*passover*", "*passport*", "*passed*", "*compass*", "*bypass*", "pass-through", "passthru", "passthrough", "passbytes", "passcount", "passratio"};
CxList tempResult = allStrings.FindByShortNames(pswdIncludeList, false);
CxList toRemove = tempResult.FindByShortNames(pswdExcludeList, false);
tempResult -= toRemove;
tempResult.Add(allStrings.FindByShortName("pass", false));
foreach (CxList r in tempResult)
{
CSharpGraph g = r.data.GetByIndex(0) as CSharpGraph;
if(g != null && g.ShortName != null && g.ShortName.Length < 50)
{
result.Add(r);
}
}उद्देश्य: उपयोग किए गए फ़्रेमवर्क जोड़ें जो चेकमार्क्स द्वारा समर्थित नहीं हैं
समाधान: चेकमार्क्स में सभी क्वेरीज़ को भाषा के आधार पर विभाजित किया गया है, इसलिए आपको प्रत्येक भाषा के लिए नियम जोड़ने होंगे। नीचे ऐसे नियमों के कुछ उदाहरण दिए गए हैं।
यदि पुस्तकालयों का उपयोग किया जाता है जो मानक कार्यक्षमता को पूरक या प्रतिस्थापित करते हैं, तो उन्हें आसानी से मूल नियम में जोड़ा जा सकता है। फिर इसका उपयोग करने वाला हर व्यक्ति तुरंत नए परिचय के बारे में जान जाएगा। उदाहरण के तौर पर, एंड्रॉइड में लॉगिंग के लिए लाइब्रेरी टिम्बर और लोगगी हैं। मूल पैकेज में, गैर-सिस्टम कॉल की पहचान करने के लिए कोई नियम नहीं हैं, इसलिए यदि कोई पासवर्ड या सत्र पहचानकर्ता लॉग में आता है, तो हमें इसके बारे में पता नहीं चलेगा। आइए चेकमार्क्स नियमों में ऐसी विधियों की परिभाषाएँ जोड़ने का प्रयास करें।
परीक्षण कोड उदाहरण जो लॉगिंग के लिए टिम्बर लाइब्रेरी का उपयोग करता है:
package com.death.timberdemo;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;
import timber.log.Timber;
public class MainActivity extends AppCompatActivity {
private static final String TAG = MainActivity.class.getSimpleName();
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
Timber.e("Error Message");
Timber.d("Debug Message");
Timber.tag("Some Different tag").e("And error message");
}
}और यहां चेकमार्क्स के लिए एक अनुरोध का एक उदाहरण है, जो आपको एप्लिकेशन से डेटा के निकास बिंदु के रूप में टिम्बर विधियों को कॉल करने की परिभाषा जोड़ने की अनुमति देगा:
एंड्रॉइडआउटपुट खोजें
// Получаем результат выполнения базового правила
result = base.Find_Android_Outputs();
// Дополняем вызовами, которые приходят из библиотеки Timber
CxList timber = All.FindByExactMemberAccess("Timber.*") +
All.FindByShortName("Timber").GetMembersOfTarget();
// Добавляем к конечному результату
result.Add(timber);और आप पड़ोसी नियम में भी जोड़ सकते हैं, लेकिन यह सीधे एंड्रॉइड में लॉगिंग से संबंधित है:
एंड्रॉइडलॉग_आउटपुट ढूंढें
// Получаем результат выполнения базового правила
result = base.Find_Android_Log_Outputs();
// Дополняем вызовами, которые приходят из библиотеки Timber
result.Add(
All.FindByExactMemberAccess("Timber.*") +
All.FindByShortName("Timber").GetMembersOfTarget()
);इसके अलावा, यदि एंड्रॉइड एप्लिकेशन का उपयोग किया जाता है अतुल्यकालिक कार्य के लिए, कार्य से डेटा प्राप्त करने के लिए एक विधि जोड़कर चेकमार्क्स को इसके बारे में अतिरिक्त रूप से सूचित करना एक अच्छा विचार है getInputData:
एंड्रॉइड पढ़ें खोजें
// Получаем результат выполнения базового правила
result = base.Find_Android_Read();
// Дополняем вызовом функции getInputData, которая используется в WorkManager
CxList getInputData = All.FindByShortName("getInputData");
// Добавляем к конечному результату
result.Add(getInputData.GetMembersOfTarget());उद्देश्य: आईओएस परियोजनाओं के लिए प्लिस्ट में संवेदनशील डेटा की खोज
समाधान: iOS अक्सर विभिन्न वेरिएबल्स और मानों को संग्रहीत करने के लिए .plist एक्सटेंशन वाली विशेष फ़ाइलों का उपयोग करता है। इन फ़ाइलों में पासवर्ड, टोकन, कुंजियाँ और अन्य संवेदनशील डेटा संग्रहीत करने की अनुशंसा नहीं की जाती है, क्योंकि इन्हें बिना किसी समस्या के डिवाइस से निकाला जा सकता है।
प्लिस्ट फ़ाइलों में ऐसी विशेषताएं हैं जो नग्न आंखों के लिए स्पष्ट नहीं हैं, लेकिन चेकमार्क्स के लिए महत्वपूर्ण हैं। आइए एक नियम लिखें जो हमें आवश्यक डेटा की खोज करेगा और हमें बताएगा कि क्या कहीं पासवर्ड या टोकन का उल्लेख किया गया है।
ऐसी फ़ाइल का एक उदाहरण, जिसमें बैकएंड सेवा के साथ संचार के लिए एक टोकन शामिल है:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>DeviceDictionary</key>
<dict>
<key>phone</key>
<string>iPhone 6s</string>
</dict>
<key>privatekey</key>
<string>MIICXAIBAAKBgQCqGKukO1De7zhZj6+</string>
</dict>
</plist>और चेकमार्क्स के लिए एक नियम, जिसमें कई बारीकियाँ हैं जिन्हें लिखते समय ध्यान में रखा जाना चाहिए:
// Используем результат выполнения правила по поиску файлов plist, чтобы уменьшить время работы правила и
CxList plist = Find_Plist_Elements();
// Инициализируем новую переменную
CxList dictionarySettings = All.NewCxList();
// Теперь добавим поиск всех интересующих нас значений. В дальнейшем можно расширять этот список.
// Для поиска значений, как ни странно, используется FindByMemberAccess - поиск обращений к методам. Второй параметр внутри функции, false, означает, что поиск нечувствителен к регистру
dictionarySettings.Add(plist.FindByMemberAccess("privatekey", false));
dictionarySettings.Add(plist.FindByMemberAccess("privatetoken", false));
// Для корректного поиска из-за особенностей структуры plist - нужно искать по типу "If statement"
CxList ifStatements = plist.FindByType(typeof(IfStmt));
// Добавляем в результат, перед этим получив родительский узел - для правильного отображения
result = dictionarySettings.FindByFathers(ifStatements);उद्देश्य: XML में जानकारी ढूँढना
समाधान: XML के साथ काम करने और मूल्यों, टैग, विशेषताओं और बहुत कुछ की खोज के लिए चेकमार्क्स के पास बहुत सुविधाजनक कार्य हैं। लेकिन, दुर्भाग्य से, दस्तावेज़ीकरण में एक त्रुटि थी जिसके कारण एक भी उदाहरण काम नहीं कर सका। इस तथ्य के बावजूद कि दस्तावेज़ीकरण के नवीनतम संस्करण में इस दोष को समाप्त कर दिया गया है, यदि आप दस्तावेज़ों के पुराने संस्करणों का उपयोग करते हैं तो सावधान रहें।
यहां दस्तावेज़ से एक गलत उदाहरण दिया गया है:
// Код работать не будет
result = All.FindXmlAttributesByNameAndValue("*.app", 8, “id”, "error- section", false, true);निष्पादन प्रयास के परिणामस्वरूप, हमें एक त्रुटि प्राप्त होगी All ऐसी कोई विधि नहीं है... और यह सच है, क्योंकि XML के साथ काम करने के लिए फ़ंक्शंस का उपयोग करने के लिए एक विशेष, अलग ऑब्जेक्ट स्थान है - cxXPath. एंड्रॉइड में एक सेटिंग ढूंढने के लिए सही क्वेरी इस तरह दिखती है जो HTTP ट्रैफ़िक के उपयोग की अनुमति देती है:
// Правильный вариант с использованием cxXPath
result = cxXPath.FindXmlAttributesByNameAndValue("*.xml", 8, "cleartextTrafficPermitted", "true", false, true);आइए इसे थोड़ा और विस्तार से देखें, चूंकि सभी कार्यों के लिए सिंटैक्स समान है, एक बार जब आप एक का पता लगा लेते हैं, तो आपको बस वह चुनना होगा जिसकी आपको आवश्यकता है। तो, क्रमिक रूप से मापदंडों के अनुसार:
-
"*.xml"- खोजी जाने वाली फ़ाइलों का मुखौटा -
8- उस भाषा की आईडी जिसके लिए नियम लागू किया गया है -
"cleartextTrafficPermitted"- एक्सएमएल में विशेषता का नाम -
"true"- इस विशेषता का मूल्य -
false— खोज करते समय रेगुलर एक्सप्रेशन का उपयोग -
true- इसका मतलब है कि खोज केस को नजरअंदाज करते हुए की जाएगी, यानी केस-असंवेदनशील
उदाहरण के तौर पर, हमने एक नियम का उपयोग किया जो सुरक्षा के दृष्टिकोण से एंड्रॉइड में गलत नेटवर्क कनेक्शन सेटिंग्स की पहचान करता है जो HTTP प्रोटोकॉल के माध्यम से सर्वर के साथ संचार की अनुमति देता है। किसी विशेषता वाली सेटिंग का उदाहरण cleartextTrafficPermitted अर्थ सहित true:
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.com</domain>
<trust-anchors>
<certificates src="@raw/my_ca"/>
</trust-anchors>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="true">secure.example.com</domain>
</domain-config>
</domain-config>
</network-security-config>उद्देश्य: फ़ाइल नाम/पथ के आधार पर परिणाम सीमित करें
समाधान: एंड्रॉइड के लिए मोबाइल एप्लिकेशन के विकास से संबंधित बड़ी परियोजनाओं में से एक में, हमें उस नियम की झूठी सकारात्मकताओं का सामना करना पड़ा जो अस्पष्टता सेटिंग निर्धारित करता है। तथ्य यह है कि नियम बॉक्स से बाहर फ़ाइल में खोज करता है build.gradle एप्लिकेशन के रिलीज़ संस्करण के लिए अस्पष्टता नियम लागू करने के लिए जिम्मेदार एक सेटिंग।
लेकिन बड़े प्रोजेक्ट में कभी-कभी चाइल्ड फ़ाइलें होती हैं build.gradle, जो परियोजना में शामिल पुस्तकालयों को संदर्भित करता है। ख़ासियत यह है कि भले ही ये फ़ाइलें अस्पष्टता की आवश्यकता का संकेत नहीं देती हैं, संकलन के दौरान मूल असेंबली फ़ाइल की सेटिंग्स लागू की जाएंगी।
इस प्रकार, कार्य पुस्तकालयों से संबंधित चाइल्ड फ़ाइलों में ट्रिगर्स को काटना है। उन्हें रेखा की उपस्थिति से पहचाना जा सकता है apply 'com.android.library'.
फ़ाइल से उदाहरण कोड build.gradle, जो अस्पष्टता की आवश्यकता को निर्धारित करता है:
apply plugin: 'com.android.application'
android {
compileSdkVersion 24
buildToolsVersion "24.0.2"
defaultConfig {
...
}
buildTypes {
release {
minifyEnabled true
...
}
}
}
dependencies {
...
}फ़ाइल उदाहरण build.gradle प्रोजेक्ट में शामिल लाइब्रेरी के लिए जिसमें यह सेटिंग नहीं है:
apply plugin: 'android-library'
dependencies {
compile 'com.android.support:support-v4:18.0.+'
}
android {
compileSdkVersion 14
buildToolsVersion '17.0.0'
...
}और चेकमार्क्स के लिए नियम:
ProGuardObfuscationNotInUse
// Поиск метода release среди всех методов в Gradle файлах
CxList releaseMethod = Find_Gradle_Method("release");
// Все объекты из файлов build.gradle
CxList gradleBuildObjects = Find_Gradle_Build_Objects();
// Поиск того, что находится внутри метода "release" среди всех объектов из файлов build.gradle
CxList methodInvokesUnderRelease = gradleBuildObjects.FindByType(typeof(MethodInvokeExpr)).GetByAncs(releaseMethod);
// Ищем внутри gradle-файлов строку "com.android.library" - это значит, что данный файл относится к библиотеке и его необходимо исключить из правила
CxList android_library = gradleBuildObjects.FindByName("com.android.library");
// Инициализация пустого массива
List<string> libraries_path = new List<string> {};
// Проходим через все найденные "дочерние" файлы
foreach(CxList library in android_library)
{
// Получаем путь к каждому файлу
string file_name_library = library.GetFirstGraph().LinePragma.FileName;
// Добавляем его в наш массив
libraries_path.Add(file_name_library);
}
// Ищем все вызовы включения обфускации в релизных настройках
CxList minifyEnabled = methodInvokesUnderRelease.FindByShortName("minifyEnabled");
// Получаем параметры этих вызовов
CxList minifyValue = gradleBuildObjects.GetParameters(minifyEnabled, 0);
// Ищем среди них включенные
CxList minifyValueTrue = minifyValue.FindByShortName("true");
// Немного магии, если не нашли стандартным способом :D
if (minifyValueTrue.Count == 0) {
minifyValue = minifyValue.FindByAbstractValue(abstractValue => abstractValue is TrueAbstractValue);
} else {
// А если всё-таки нашли, то предыдущий результат и оставляем
minifyValue = minifyValueTrue;
}
// Если не нашлось таких методов
if (minifyValue.Count == 0)
{
// Для более корректного отображения места срабатывания в файле ищем или buildTypes или android
CxList tempResult = All.NewCxList();
CxList buildTypes = Find_Gradle_Method("buildTypes");
if (buildTypes.Count > 0) {
tempResult = buildTypes;
} else {
tempResult = Find_Gradle_Method("android");
}
// Для каждого из найденных мест срабатывания проходим и определяем, дочерний или основной файлы сборки
foreach(CxList res in tempResult)
{
// Определяем, в каком файле был найден buildType или android методы
string file_name_result = res.GetFirstGraph().LinePragma.FileName;
// Если такого файла нет в нашем списке "дочерних" файлов - значит это основной файл и его можно добавить в результат
if (libraries_path.Contains(file_name_result) == false){
result.Add(res);
}
}
}यह दृष्टिकोण न केवल एंड्रॉइड अनुप्रयोगों के लिए, बल्कि अन्य मामलों के लिए भी काफी सार्वभौमिक और उपयोगी हो सकता है जब आपको यह निर्धारित करने की आवश्यकता होती है कि परिणाम किसी विशिष्ट फ़ाइल से संबंधित है या नहीं।
उद्देश्य: यदि सिंटैक्स पूरी तरह से समर्थित नहीं है तो किसी तृतीय पक्ष लाइब्रेरी के लिए समर्थन जोड़ें
समाधान: कोड लिखने की प्रक्रिया में उपयोग किए जाने वाले विभिन्न फ़्रेमवर्क की संख्या चार्ट से बिल्कुल अलग है। बेशक, चेकमार्क्स हमेशा उनके अस्तित्व के बारे में नहीं जानता है, और हमारा काम उसे यह समझाना सिखाना है कि कुछ विधियाँ विशेष रूप से इस ढांचे से संबंधित हैं। कभी-कभी यह इस तथ्य से जटिल होता है कि फ्रेमवर्क फ़ंक्शन नामों का उपयोग करते हैं जो बहुत सामान्य हैं और किसी विशिष्ट लाइब्रेरी के साथ किसी विशेष कॉल के संबंध को स्पष्ट रूप से निर्धारित करना असंभव है।
कठिनाई यह है कि ऐसे पुस्तकालयों के वाक्यविन्यास को हमेशा सही ढंग से पहचाना नहीं जाता है और आपको बड़ी संख्या में गलत सकारात्मकता से बचने के लिए प्रयोग करना पड़ता है। स्कैनिंग सटीकता में सुधार करने और समस्या को हल करने के लिए कई विकल्प हैं:
-
पहला विकल्प, हम निश्चित रूप से जानते हैं कि लाइब्रेरी का उपयोग एक विशिष्ट प्रोजेक्ट में किया जाता है और टीम स्तर पर नियम लागू कर सकता है। लेकिन अगर टीम एक अलग दृष्टिकोण अपनाने का निर्णय लेती है या कई पुस्तकालयों का उपयोग करती है जिसमें फ़ंक्शन नाम ओवरलैप होते हैं, तो हमें कई झूठी सकारात्मकताओं की बहुत सुखद तस्वीर नहीं मिल सकती है
-
दूसरा विकल्प उन फ़ाइलों की खोज करना है जिनमें लाइब्रेरी स्पष्ट रूप से आयात की गई है। इस दृष्टिकोण से, हम यह सुनिश्चित कर सकते हैं कि जिस लाइब्रेरी की हमें आवश्यकता है वह इस फ़ाइल में सटीक रूप से उपयोग की गई है।
-
और तीसरा विकल्प उपरोक्त दोनों दृष्टिकोणों का एक साथ उपयोग करना है।
उदाहरण के तौर पर, आइए संकीर्ण दायरे में प्रसिद्ध एक पुस्तकालय को देखें स्काला प्रोग्रामिंग भाषा के लिए, अर्थात् कार्यक्षमता . सामान्य तौर पर, SQL क्वेरी में पैरामीटर पास करने के लिए, आपको ऑपरेटर का उपयोग करना होगा $, जो डेटा को पूर्वनिर्मित SQL क्वेरी में प्रतिस्थापित करता है। यानी वास्तव में, यह जावा में तैयार स्टेटमेंट का प्रत्यक्ष एनालॉग है। लेकिन, यदि आपको गतिशील रूप से SQL क्वेरी बनाने की आवश्यकता है, उदाहरण के लिए, यदि आपको तालिका नाम पास करने की आवश्यकता है, तो आप ऑपरेटर का उपयोग कर सकते हैं #$, जो सीधे डेटा को क्वेरी में प्रतिस्थापित कर देगा (लगभग स्ट्रिंग संयोजन की तरह)।
नमूना कोड:
// В общем случае - значения, контролируемые пользователем
val table = "coffees"
sql"select * from #$table where name = $name".as[Coffee].headOptionचेकमार्क्स को अभी तक यह नहीं पता है कि स्प्लिसिंग लिटरल वैल्यूज़ और स्किप ऑपरेटरों के उपयोग का पता कैसे लगाया जाए #$, तो आइए इसे संभावित SQL इंजेक्शन की पहचान करना और कोड में सही स्थानों को उजागर करना सिखाने का प्रयास करें:
// Находим все импорты
CxList imports = All.FindByType(typeof(Import));
// Ищем по имени, есть ли в импортах slick
CxList slick = imports.FindByShortName("slick");
// Некоторый флаг, определяющий, что импорт библиотеки в коде присутствует
// Для более точного определения - можно применить подход с именем файла
bool not_empty_list = false;
foreach (CxList r in slick)
{
// Если встретили импорт, считаем, что slick используется
not_empty_list = true;
}
if (not_empty_list) {
// Ищем вызовы, в которые передается SQL-строка
CxList sql = All.FindByShortName("sql");
sql.Add(All.FindByShortName("sqlu"));
// Определяем данные, которые попадают в эти вызовы
CxList data_sql = All.DataInfluencingOn(sql);
// Так как синтакис не поддерживается, можно применить подход с регулярными выражениями
// RegExp стоит использовать крайне осторожно и не применять его на большом количестве данных, так как это может сильно повлиять на производительность
CxList find_possible_inj = data_sql.FindByRegex(@"#$", true, true, true);
// Избавляемся от лишних срабатываний, если они есть и выводим в результат
result = find_possible_inj.FindByType(typeof(BinaryExpr));
}उद्देश्य: ओपन-सोर्स लाइब्रेरीज़ में प्रयुक्त असुरक्षित फ़ंक्शंस खोजें
समाधान: कई कंपनियां विकसित अनुप्रयोगों में पुस्तकालयों के कमजोर संस्करणों के उपयोग का पता लगाने के लिए ओपन-सोर्स मॉनिटरिंग टूल (ओएसए अभ्यास) का उपयोग करती हैं। कभी-कभी ऐसी लाइब्रेरी को सुरक्षित संस्करण में अपडेट करना संभव नहीं होता है। कुछ मामलों में कार्यात्मक सीमाएँ हैं, अन्य में कोई सुरक्षित संस्करण ही नहीं है। इस मामले में, एसएएसटी और ओएसए प्रथाओं का संयोजन यह निर्धारित करने में मदद करेगा कि भेद्यता का शोषण करने वाले कार्यों का उपयोग कोड में नहीं किया जाता है।
लेकिन कभी-कभी, विशेषकर जावास्क्रिप्ट पर विचार करते समय, यह पूरी तरह से मामूली कार्य नहीं हो सकता है। नीचे एक समाधान दिया गया है, जो शायद आदर्श नहीं है, लेकिन फिर भी घटक में कमजोरियों के उदाहरण का उपयोग करके काम कर रहा है lodash तरीकों में template и *set.
JS फ़ाइल में संभावित रूप से असुरक्षित कोड के परीक्षण के उदाहरण:
/**
* Template example
*/
'use strict';
var _ = require("./node_modules/lodash.js");
// Use the "interpolate" delimiter to create a compiled template.
var compiled = _.template('hello <%= js %>!');
console.log(compiled({ 'js': 'lodash' }));
// => 'hello lodash!'
// Use the internal `print` function in "evaluate" delimiters.
var compiled = _.template('<% print("hello " + js); %>!');
console.log(compiled({ 'js': 'lodash' }));
// => 'hello lodash!'और html में सीधे कनेक्ट होने पर:
<!DOCTYPE html>
<html>
<head>
<title>Lodash Tutorial</title>
<script src="./node_modules/lodash.js"></script>
<script type="text/javascript">
// Lodash chunking array
nums = [1, 2, 3, 4, 5, 6, 7, 8, 9];
let c1 = _.template('<% print("hello " + js); %>!');
console.log(c1);
let c2 = _.template('<% print("hello " + js); %>!');
console.log(c2);
</script>
</head>
<body></body>
</html>हम अपने सभी असुरक्षित तरीकों की तलाश कर रहे हैं, जो कमजोरियों में सूचीबद्ध हैं:
// Ищем все строки: в которых встречается строка lodash (предполагаем, что это объявление импорта библиотеки
CxList lodash_strings = Find_String_Literal().FindByShortName("*lodash*");
// Ищем все данные: которые взаимодействуют с этими строками
CxList data_on_lodash = All.InfluencedBy(lodash_strings);
// Задаем список уязвимых методов
List<string> vulnerable_methods = new List<string> {"template", "*set"};
// Ищем все наши уязвимые методы, которые перечисленны в уязвимостях и отфильтровываем их только там, где они вызывались
CxList vulnerableMethods = All.FindByShortNames(vulnerable_methods).FindByType(typeof(MethodInvokeExpr));
//Находим все данные: которые взаимодействуют с данными методами
CxList vulnFlow = All.InfluencedBy(vulnerableMethods);
// Если есть пересечение по этим данным - кладем в результат
result = vulnFlow * data_on_lodash;
// Формируем список путей по которым мы уже прошли, чтобы фильтровать в дальнейшем дубли
List<string> lodash_result_path = new List<string> {};
foreach(CxList lodash_result in result)
{
// Очередной раз получаем пути к файлам
string file_name = lodash_result.GetFirstGraph().LinePragma.FileName;
lodash_result_path.Add(file_name);
}
// Дальше идет часть относящаяся к html файлам, так как в них мы не можем проследить откуда именно идет вызов
// Формируем массив путей файлов, чтобы быть уверенными, что срабатывания уязвимых методов были именно в тех файлах, в которых объявлен lodash
List<string> lodash_path = new List<string> {};
foreach(CxList string_lodash in lodash_strings)
{
string file_name = string_lodash.GetFirstGraph().LinePragma.FileName;
lodash_path.Add(file_name);
}
// Перебираем все уязвимые методы и убеждаемся, что они вызваны в тех же файлах, что и объявление/включение lodash
foreach(CxList method in vulnerableMethods)
{
string file_name_method = method.GetFirstGraph().LinePragma.FileName;
if (lodash_path.Contains(file_name_method) == true && lodash_result_path.Contains(file_name_method) == false){
result.Add(method);
}
}
// Убираем все UknownReferences и оставляем самый "длинный" из путей, если такие встречаются
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceSmallFlow) - result.FindByType(typeof(UnknownReference));उद्देश्य: एप्लिकेशन में एम्बेडेड प्रमाणपत्रों की खोज की जा रही है
समाधान: विभिन्न सर्वरों तक पहुंचने या एसएसएल-पिनिंग को सत्यापित करने के लिए प्रमाणपत्रों या कुंजियों का उपयोग करना अनुप्रयोगों, विशेष रूप से मोबाइल वाले के लिए असामान्य नहीं है। सुरक्षा के दृष्टिकोण से, ऐसी चीज़ों को कोड में संग्रहीत करना सर्वोत्तम अभ्यास नहीं है। आइए एक नियम लिखने का प्रयास करें जो रिपॉजिटरी में समान फ़ाइलों की खोज करेगा:
// Найдем все сертификаты по маске файла
CxList find_certs = All.FindByShortNames(new List<string> {"*.der", "*.cer", "*.pem", "*.key"}, false);
// Проверим, где в приложении они используются
CxList data_used_certs = All.DataInfluencedBy(find_certs);
// И для мобильных приложений - можем поискать методы, где вызывается чтение сертификатов
// Для других платформ и приложений могут быть различные методы
CxList methods = All.FindByMemberAccess("*.getAssets");
// Пересечение множеств даст нам результат по использованию локальных сертификатов в приложении
result = methods * data_used_certs;उद्देश्य: एप्लिकेशन में समझौता किए गए टोकन ढूंढना
समाधान: समझौता किए गए टोकन या कोड में मौजूद अन्य महत्वपूर्ण जानकारी को रद्द करना अक्सर आवश्यक होता है। बेशक, उन्हें स्रोत कोड के अंदर संग्रहीत करना एक अच्छा विचार नहीं है, लेकिन स्थितियाँ अलग-अलग होती हैं। CxQL क्वेरीज़ के लिए धन्यवाद, इस तरह की चीज़ें ढूंढना काफी आसान है:
// Получаем все строки, которые содержатся в коде
CxList strings = base.Find_Strings();
// Ищем среди всех строк нужное нам значение. В примере токен в виде строки "qwerty12345"
result = strings.FindByShortName("qwerty12345");निष्कर्ष
मुझे उम्मीद है कि यह लेख उन लोगों के लिए उपयोगी होगा जो चेकमार्क्स टूल से परिचित होना शुरू कर रहे हैं। शायद जो लोग लंबे समय से अपने नियम लिख रहे हैं उन्हें भी इस गाइड में कुछ उपयोगी मिलेगा।
दुर्भाग्य से, वर्तमान में ऐसे संसाधन की कमी है जहां चेकमार्क्स के नियमों के विकास के दौरान नए विचार प्राप्त किए जा सकें। इसीलिए हमने बनाया , जहां हम अपना काम पोस्ट करेंगे ताकि CxQL का उपयोग करने वाले हर व्यक्ति को इसमें कुछ उपयोगी मिल सके, और उन्हें समुदाय के साथ अपना काम साझा करने का अवसर भी मिले। भंडार सामग्री भरने और संरचना करने की प्रक्रिया में है, इसलिए योगदानकर्ताओं का स्वागत है!
धन्यवाद!
स्रोत: www.habr.com