簡単なユーティリティを使用してプログラム コードの脆弱性を見つける方法

Graudit は複数のプログラミング言語をサポートしており、コードベースのセキュリティ テストを開発プロセスに直接統合できます。

出所： Unsplash (マーカス・スパイク)

テストはソフトウェア開発ライフサイクルの重要な部分です。 テストには多くの種類があり、それぞれが独自の問題を解決します。 今日はコード内のセキュリティ上の問題を見つけることについて話したいと思います。

ソフトウェア開発の現代の現実においては、プロセスのセキュリティを確保することが重要であることは明らかです。 かつては、DevSecOps という特別な用語が導入されたこともありました。 この用語は、アプリケーションの脆弱性を特定して排除することを目的とした一連の手順を指します。 標準に従って脆弱性をチェックするための専用のオープンソース ソリューションがあります。 OWASP、ソース コードの脆弱性のさまざまな種類と動作について説明します。

セキュリティ問題を解決するには、静的アプリケーション セキュリティ テスト (SAST)、動的アプリケーション セキュリティ テスト (DAST)、対話型アプリケーション セキュリティ テスト (IAST)、ソフトウェア構成分析など、さまざまなアプローチがあります。

静的なアプリケーションのセキュリティ テストでは、すでに記述されているコード内のエラーを特定します。 このアプローチはアプリケーションを実行する必要がないため、静的分析と呼ばれます。

静的コード分析に焦点を当て、シンプルなオープンソース ツールを使用してすべてを実際に示します。

静的コードのセキュリティ分析にオープンソース ツールを選んだ理由

これにはいくつかの理由があります。まず、他の開発者を支援したいという同じ考えを持つ人々のコミュニティによって開発されたツールを使用しているため、無料です。 小規模なチームまたは新興企業の場合、オープンソース ソフトウェアを使用してコードベースのセキュリティをテストすることで、コストを節約する絶好の機会があります。 次に、別の DevSecOps チームを雇う必要がなくなり、コストがさらに削減されます。

優れたオープンソース ツールは、常に柔軟性に対する要件の増加を考慮して作成されます。 したがって、ほぼすべての環境で使用でき、幅広いタスクに対応できます。 開発者にとって、プロジェクトの作業中にそのようなツールをすでに構築したシステムに接続するのははるかに簡単です。

ただし、選択したツールでは利用できない機能が必要になる場合があります。 この場合、そのコードをフォークし、それに基づいて必要な機能を備えた独自のツールを開発する機会があります。

ほとんどの場合、オープン ソース ソフトウェアの開発はコミュニティの影響を積極的に受けているため、変更を加える決定は非常に迅速かつ的確に行われます。オープン ソース プロジェクトの開発者は、ユーザーからのフィードバックや提案、およびユーザーからのレポートに依存しています。見つかったエラーやその他の問題。

Graudit を使用したコードセキュリティ分析

静的コード分析にはさまざまなオープン ソース ツールを使用できますが、すべてのプログラミング言語に共通のツールはありません。 一部の開発者は OWASP の推奨事項に従っており、できるだけ多くの言語をカバーしようとしています。

ここで使用します グラウディット、コードベースの脆弱性を見つけることができるシンプルなコマンド ライン ユーティリティです。 さまざまな言語をサポートしていますが、それでも言語セットは限られています。 Graudit は、かつて GNU ライセンスに基づいてリリースされていた grep ユーティリティ ユーティリティに基づいて開発されました。

静的コード分析用の同様のツールとして、Rough Auditing Tool for Security (RATS)、Securitycompass Web Application Analysis Tool (SWAAT)、floatfinder などがあります。 ただし、Graudit は非常に柔軟性があり、技術的な要件は最小限です。 ただし、Graudit では解決できない問題が発生する可能性があります。 ここで他のオプションを探すことができます このリストに.

このツールを特定のプロジェクトに統合したり、選択したユーザーが利用できるようにしたり、すべてのプロジェクトで同時に使用したりできます。 ここでも Graudit の柔軟性が発揮されます。 それでは、最初にリポジトリのクローンを作成しましょう。

$ git clone https://github.com/wireghoul/graudit

次に、Graudit がコマンド形式で使用できるようにシンボリック リンクを作成しましょう。

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

エイリアスを .bashrc (または使用している設定ファイル) に追加しましょう。

#------ .bashrc ------
alias graudit="~/bin/graudit"

リブート：

$ source ~/.bashrc # OR
$ exex $SHELL

インストールが成功したかどうかを確認してみましょう。

$ graudit -h

同様のものが表示された場合は、すべて問題ありません。

既存のプロジェクトの XNUMX つをテストします。 ツールを実行する前に、プロジェクトが記述されている言語に対応するデータベースをツールに渡す必要があります。 データベースは ~/gradit/signatures フォルダーにあります。

$ graudit -d ~/gradit/signatures/js.db

そこで、プロジェクトの XNUMX つの js ファイルをテストしたところ、Graudit はコード内の脆弱性に関する情報をコンソールに表示しました。

同じ方法でプロジェクトをテストしてみることができます。 さまざまなプログラミング言語のデータベースのリストを表示できます。 ここで.

Graudit の長所と短所

Graudit は多くのプログラミング言語をサポートしています。 したがって、幅広いユーザーに適しています。 無料または有料の類似物と十分に競合できます。 そして、プロジェクトの改善が現在も行われていることが非常に重要であり、コミュニティは開発者だけでなく、ツールを理解しようとしている他のユーザーも支援します。

これは便利なツールですが、これまでのところ、疑わしいコード部分の問題を常に正確に特定できるわけではありません。 開発者は引き続き Graudit の改良を行っています。

ただし、いずれの場合でも、このようなツールを使用する場合は、コード内の潜在的なセキュリティ問題に注意を払うことが役立ちます。

始める…

この記事では、脆弱性を見つける多くの方法のうちの XNUMX つである静的アプリケーション セキュリティ テストについて説明しました。 静的コード分析を実施するのは簡単ですが、それは始まりにすぎません。 コードベースのセキュリティについてさらに詳しく知るには、他の種類のテストをソフトウェア開発ライフサイクルに統合する必要があります。

広告の権利について

信頼できる VPS 料金プランを正しく選択すると、不快な問題によって開発に集中できなくなり、すべてが障害なく動作し、非常に高い稼働率が得られます。

出所： habr.com