🥇ວິທີການຂຽນກົດລະບຽບສໍາລັບ Checkmarx ໂດຍບໍ່ມີການ Crazy

Hey Habr!

ໃນການເຮັດວຽກຂອງພວກເຮົາ, ບໍລິສັດຂອງພວກເຮົາມັກຈະຈັດການກັບເຄື່ອງມືການວິເຄາະລະຫັດສະຖິດ (SAST). ອອກຈາກກ່ອງພວກເຂົາທັງຫມົດເຮັດວຽກສະເລ່ຍ. ແນ່ນອນ, ມັນທັງຫມົດແມ່ນຂຶ້ນກັບໂຄງການແລະເຕັກໂນໂລຢີທີ່ໃຊ້ໃນມັນ, ເຊັ່ນດຽວກັນກັບວ່າເຕັກໂນໂລຢີເຫຼົ່ານີ້ຖືກຄຸ້ມຄອງໂດຍກົດລະບຽບຂອງການວິເຄາະແນວໃດ. ໃນຄວາມຄິດເຫັນຂອງຂ້ອຍ, ຫນຶ່ງໃນເງື່ອນໄຂທີ່ສໍາຄັນທີ່ສຸດໃນເວລາທີ່ເລືອກເຄື່ອງມື SAST ແມ່ນຄວາມສາມາດໃນການປັບແຕ່ງມັນໃຫ້ກັບສະເພາະຂອງຄໍາຮ້ອງສະຫມັກຂອງທ່ານ, ຄື, ຂຽນແລະປ່ຽນກົດລະບຽບການວິເຄາະຫຼື, ຍ້ອນວ່າພວກເຂົາຖືກເອີ້ນເລື້ອຍໆ, Custom Queries.

ພວກເຮົາສ່ວນຫຼາຍມັກໃຊ້ Checkmarx - ເປັນຕົວວິເຄາະລະຫັດທີ່ຫນ້າສົນໃຈແລະມີອໍານາດຫຼາຍ. ໃນບົດຄວາມນີ້ຂ້ອຍຈະເວົ້າກ່ຽວກັບປະສົບການຂອງຂ້ອຍໃນການຂຽນກົດລະບຽບການວິເຄາະສໍາລັບມັນ.

ຕາຕະລາງເນື້ອຫາ

ເຂົ້າ
ຂໍ້ມູນທົ່ວໄປກ່ຽວກັບກົດລະບຽບ
"ວັດຈະນານຸກົມ" ສໍາລັບຜູ້ເລີ່ມຕົ້ນ
ການແກ້ໄຂບັນຫາ
- ການຕັດໄມ້
- ບັນຫາການເຂົ້າສູ່ລະບົບ
ກົດລະບຽບການຂຽນ
ສະຫລຸບ

ເຂົ້າ

ເພື່ອເລີ່ມຕົ້ນດ້ວຍ, ຂ້າພະເຈົ້າຂໍແນະນໍາຫນຶ່ງໃນບົດຄວາມຈໍານວນຫນ້ອຍໃນພາສາລັດເຊຍກ່ຽວກັບລັກສະນະຂອງການຂຽນຄໍາຖາມສໍາລັບ Checkmarx. ມັນໄດ້ຖືກຈັດພີມມາໃນHabréໃນຕອນທ້າຍຂອງ 2019 ພາຍໃຕ້ຫົວຂໍ້: "ສະບາຍດີ, Checkmarx!" ວິທີການຂຽນຄໍາຖາມ Checkmarx SAST ແລະຊອກຫາຊ່ອງໂຫວ່ເຢັນ.

ມັນກວດສອບລາຍລະອຽດກ່ຽວກັບວິທີການຂຽນຄໍາຖາມທໍາອິດໃນ CxQL (Checkmarx Query Language) ສໍາລັບຄໍາຮ້ອງສະຫມັກການທົດສອບບາງຢ່າງແລະສະແດງໃຫ້ເຫັນເຖິງຫຼັກການພື້ນຖານຂອງວິທີການປະຕິບັດກົດລະບຽບການວິເຄາະ.

ຂ້າພະເຈົ້າຈະບໍ່ເຮັດຊ້ໍາສິ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນນັ້ນ, ເຖິງແມ່ນວ່າບາງທາງຕັດຈະຍັງຄົງຢູ່. ໃນບົດຄວາມຂອງຂ້ອຍຂ້ອຍຈະພະຍາຍາມລວບລວມປະເພດຂອງ "ການລວບລວມສູດ", ບັນຊີລາຍຊື່ຂອງການແກ້ໄຂບັນຫາສະເພາະທີ່ຂ້ອຍພົບໃນລະຫວ່າງການເຮັດວຽກກັບ Checkmarx. ຂ້າພະເຈົ້າຕ້ອງ rack ສະຫມອງຂອງຂ້າພະເຈົ້າກ່ຽວກັບຫຼາຍບັນຫາເຫຼົ່ານີ້. ບາງຄັ້ງບໍ່ມີຂໍ້ມູນພຽງພໍໃນເອກະສານ, ແລະບາງຄັ້ງມັນກໍ່ຍາກທີ່ຈະເຂົ້າໃຈວິທີການເຮັດສິ່ງທີ່ຕ້ອງການ. ຂ້ອຍຫວັງວ່າປະສົບການຂອງຂ້ອຍແລະການນອນບໍ່ຫຼັບຂອງຂ້ອຍຈະບໍ່ມີປະໂຫຍດ, ແລະ "ການລວບລວມສູດການສອບຖາມທີ່ກໍາຫນົດເອງ" ນີ້ຈະຊ່ວຍໃຫ້ທ່ານປະຫຍັດເວລາສອງສາມຊົ່ວໂມງຫຼືສອງສາມຊົ່ວໂມງຂອງເສັ້ນປະສາດ. ດັ່ງນັ້ນ, ໃຫ້ເລີ່ມຕົ້ນ!

ຂໍ້ມູນທົ່ວໄປກ່ຽວກັບກົດລະບຽບ

ທໍາອິດ, ໃຫ້ເບິ່ງແນວຄວາມຄິດພື້ນຖານຈໍານວນຫນ້ອຍແລະຂະບວນການເຮັດວຽກກັບກົດລະບຽບ, ສໍາລັບຄວາມເຂົ້າໃຈດີຂຶ້ນກ່ຽວກັບສິ່ງທີ່ຈະເກີດຂຶ້ນຕໍ່ໄປ. ແລະຍ້ອນວ່າເອກະສານບໍ່ໄດ້ເວົ້າຫຍັງກ່ຽວກັບເລື່ອງນີ້ຫຼືຖືກເຜີຍແຜ່ຫຼາຍໃນໂຄງສ້າງ, ເຊິ່ງບໍ່ສະດວກຫຼາຍ.

ກົດລະບຽບແມ່ນໄດ້ຮັບການນໍາໃຊ້ໃນລະຫວ່າງການສະແກນໂດຍອີງໃສ່ການ preset ເລືອກໄວ້ໃນຕອນເລີ່ມຕົ້ນ (ຊຸດຂອງກົດລະບຽບການເຄື່ອນໄຫວ). ທ່ານສາມາດສ້າງຈໍານວນບໍ່ຈໍາກັດ presets ໄດ້, ແລະແນ່ນອນວ່າວິທີການຈັດໂຄງສ້າງໃຫ້ເຂົາເຈົ້າແມ່ນຂຶ້ນກັບສະເພາະຂອງຂະບວນການຂອງທ່ານ. ທ່ານສາມາດຈັດກຸ່ມໃຫ້ເຂົາເຈົ້າຕາມພາສາຫຼືເລືອກ presets ສໍາລັບແຕ່ລະໂຄງການ. ຈໍານວນຂອງກົດລະບຽບການເຄື່ອນໄຫວຜົນກະທົບຕໍ່ຄວາມໄວແລະຄວາມຖືກຕ້ອງຂອງການສະແກນ.

ການຕັ້ງຄ່າ Preset ໃນການໂຕ້ຕອບ Checkmarx
ກົດລະບຽບຖືກແກ້ໄຂໃນເຄື່ອງມືພິເສດທີ່ເອີ້ນວ່າ CxAudit. ນີ້ແມ່ນແອັບພລິເຄຊັນ desktop ທີ່ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍທີ່ໃຊ້ Checkmarx. ເຄື່ອງມືນີ້ມີສອງຮູບແບບການດໍາເນີນງານ: ກົດລະບຽບການແກ້ໄຂແລະການວິເຄາະຜົນໄດ້ຮັບຂອງ scan ປະຕິບັດແລ້ວ.

ການໂຕ້ຕອບ CxAudit
ກົດລະບຽບໃນ Checkmarx ຖືກແບ່ງອອກໂດຍພາສາ, ນັ້ນແມ່ນ, ແຕ່ລະພາສາມີຊຸດຄໍາຖາມຂອງຕົນເອງ. ຍັງມີບາງກົດລະບຽບທົ່ວໄປທີ່ນໍາໃຊ້ໂດຍບໍ່ຄໍານຶງເຖິງພາສາ, ເຫຼົ່ານີ້ແມ່ນອັນທີ່ເອີ້ນວ່າການສອບຖາມພື້ນຖານ. ສໍາລັບສ່ວນໃຫຍ່, ການສອບຖາມພື້ນຖານກ່ຽວຂ້ອງກັບການຊອກຫາຂໍ້ມູນທີ່ກົດລະບຽບອື່ນໆໃຊ້.

ການແບ່ງປັນລະບຽບໂດຍພາສາ
ກົດລະບຽບແມ່ນ "ປະຕິບັດໄດ້" ແລະ "ບໍ່ສາມາດປະຕິບັດໄດ້" (ປະຕິບັດແລະບໍ່ໄດ້ປະຕິບັດ). ບໍ່ແມ່ນຊື່ທີ່ຖືກຕ້ອງ, ໃນຄວາມຄິດເຫັນຂອງຂ້ອຍ, ແຕ່ນັ້ນແມ່ນສິ່ງທີ່ມັນເປັນ. ເສັ້ນທາງລຸ່ມແມ່ນວ່າຜົນຂອງການປະຕິບັດກົດລະບຽບ "ປະຕິບັດໄດ້" ຈະຖືກສະແດງຢູ່ໃນຜົນການສະແກນໃນ UI, ແລະກົດລະບຽບ "ບໍ່ສາມາດປະຕິບັດໄດ້" ພຽງແຕ່ຕ້ອງການໃຊ້ຜົນໄດ້ຮັບຂອງພວກເຂົາໃນການຮ້ອງຂໍອື່ນໆ (ໂດຍເນື້ອແທ້ແລ້ວ, ພຽງແຕ່ຫນ້າທີ່).

ການກໍານົດປະເພດກົດລະບຽບໃນເວລາສ້າງ
ທ່ານສາມາດສ້າງກົດລະບຽບໃຫມ່ຫຼືເສີມ / ຂຽນໃຫມ່ທີ່ມີຢູ່ແລ້ວ. ເພື່ອຂຽນກົດລະບຽບໃຫມ່, ທ່ານຈໍາເປັນຕ້ອງຊອກຫາມັນຢູ່ໃນຕົ້ນໄມ້, ຄລິກຂວາແລະເລືອກ "ຍົກເລີກ" ຈາກເມນູເລື່ອນລົງ. ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະຈື່ຈໍາຢູ່ທີ່ນີ້ວ່າກົດລະບຽບໃຫມ່ບໍ່ໄດ້ຖືກລວມເຂົ້າໃນການຕັ້ງຄ່າເບື້ອງຕົ້ນແລະບໍ່ມີການເຄື່ອນໄຫວ. ເພື່ອເລີ່ມຕົ້ນການນໍາໃຊ້ພວກມັນ, ທ່ານຈໍາເປັນຕ້ອງເປີດໃຊ້ພວກມັນຢູ່ໃນເມນູ "Preset Manager" ໃນເຄື່ອງມື. ກົດລະບຽບການຂຽນຄືນໃຫມ່ຍັງຄົງຮັກສາການຕັ້ງຄ່າຂອງພວກເຂົາ, ນັ້ນແມ່ນ, ຖ້າກົດລະບຽບມີການເຄື່ອນໄຫວ, ມັນຈະຍັງຄົງຢູ່ແລະຈະຖືກນໍາໄປໃຊ້ໃນທັນທີ.

ຕົວຢ່າງຂອງກົດລະບຽບໃຫມ່ໃນສ່ວນຕິດຕໍ່ Preset Manager
ໃນລະຫວ່າງການປະຕິບັດ, "ຕົ້ນໄມ້" ຂອງການຮ້ອງຂໍແມ່ນຖືກສ້າງຂຶ້ນ, ເຊິ່ງຂຶ້ນກັບສິ່ງທີ່. ກົດລະບຽບທີ່ເກັບກໍາຂໍ້ມູນແມ່ນປະຕິບັດຄັ້ງທໍາອິດ, ແລະຜູ້ທີ່ໃຊ້ມັນທີສອງ. ຜົນໄດ້ຮັບການປະຕິບັດໄດ້ຖືກເກັບໄວ້ໃນຖານຄວາມຈໍາ, ດັ່ງນັ້ນຖ້າມັນເປັນໄປໄດ້ທີ່ຈະນໍາໃຊ້ຜົນໄດ້ຮັບຂອງກົດລະບຽບທີ່ມີຢູ່ແລ້ວ, ມັນດີກວ່າທີ່ຈະເຮັດແນວນັ້ນ, ນີ້ຈະຫຼຸດຜ່ອນເວລາການສະແກນ.
ກົດລະບຽບສາມາດນໍາໃຊ້ໃນລະດັບຕ່າງໆ:

ສໍາລັບລະບົບທັງຫມົດ - ຈະຖືກນໍາໃຊ້ສໍາລັບການສະແກນໂຄງການໃດໆ
ໃນລະດັບທີມງານ (ທີມງານ) - ພຽງແຕ່ຖືກນໍາໃຊ້ເພື່ອສະແກນໂຄງການໃນທີມງານທີ່ເລືອກ.
ໃນລະດັບໂຄງການ - ຈະຖືກນໍາໃຊ້ໃນໂຄງການສະເພາະໃດຫນຶ່ງ

ການກໍານົດລະດັບທີ່ກົດລະບຽບຈະຖືກນໍາໃຊ້

"ວັດຈະນານຸກົມ" ສໍາລັບຜູ້ເລີ່ມຕົ້ນ

ແລະຂ້ອຍຈະເລີ່ມຕົ້ນດ້ວຍບາງສິ່ງທີ່ເຮັດໃຫ້ຂ້ອຍມີຄໍາຖາມ, ແລະຂ້ອຍຈະສະແດງເຕັກນິກຈໍານວນຫນຶ່ງທີ່ຈະຊ່ວຍໃຫ້ຊີວິດງ່າຍຂຶ້ນຫຼາຍ.

ການດໍາເນີນງານທີ່ມີລາຍຊື່

- вычитание одного из другого (list2 - list1)
* пересечение списков (list1 * list2)
+ сложение списков (list1 + list2)

& (логическое И) - объединяет списки по совпадению (list1 & list2), аналогично пересечению (list1 * list2)
| (логическое ИЛИ) - объединяет списки по широкому поиску (list1 | list2)

Со списками не работает:  ^  &&  ||  %  /

ລາຍການທີ່ພົບເຫັນທັງໝົດ

ພາຍໃນພາສາທີ່ສະແກນ, ທ່ານສາມາດໄດ້ຮັບບັນຊີລາຍຊື່ຂອງອົງປະກອບທັງຫມົດທີ່ Checkmarx ໄດ້ກໍານົດ (ສະຕິງ, ຫນ້າທີ່, ຫ້ອງຮຽນ, ວິທີການ, ແລະອື່ນໆ). ນີ້ແມ່ນບາງພື້ນທີ່ຂອງວັດຖຸທີ່ສາມາດເຂົ້າເຖິງໄດ້ໂດຍຜ່ານ All. ນັ້ນແມ່ນ, ຄົ້ນຫາວັດຖຸທີ່ມີຊື່ສະເພາະ searchMe, ທ່ານສາມາດຄົ້ນຫາ, ຍົກຕົວຢ່າງ, ໂດຍຊື່ໃນທົ່ວວັດຖຸທັງຫມົດທີ່ພົບເຫັນ:

// Такой запрос выдаст все элементы
result = All;

// Такой запрос выдаст все элементы, в имени которых присутствует “searchMe“
result = All.FindByName("searchMe");

ແຕ່, ຖ້າທ່ານຕ້ອງການຄົ້ນຫາໃນພາສາອື່ນ, ສໍາລັບເຫດຜົນບາງຢ່າງບໍ່ໄດ້ຖືກລວມເຂົ້າໃນການສະແກນ (ຕົວຢ່າງ, groovy ໃນໂຄງການ Android), ທ່ານສາມາດຂະຫຍາຍພື້ນທີ່ວັດຖຸຂອງພວກເຮົາໂດຍຜ່ານຕົວແປ:

result = AllMembers.All.FindByName("searchMe");

ຟັງຊັນສໍາລັບການວິເຄາະ Flow

ຟັງຊັນເຫຼົ່ານີ້ຖືກໃຊ້ໃນຫຼາຍກົດລະບຽບແລະນີ້ແມ່ນເອກະສານ cheat ເລັກນ້ອຍຂອງສິ່ງທີ່ພວກເຂົາຫມາຍຄວາມວ່າ:

// Какие данные second влияют на first.
// Другими словами - ТО (second) что влияет на  МЕНЯ (first).
result = first.DataInfluencedBy(second);

// Какие данные first влияют на second.
// Другими словами - Я (first) влияю на ТО (second).
result = first.DataInfluencingOn(second);

ກຳລັງຮັບຊື່/ເສັ້ນທາງ

ມີຄຸນລັກສະນະຫຼາຍຢ່າງທີ່ສາມາດໄດ້ຮັບຈາກຜົນຂອງການສອບຖາມ (ຊື່ຂອງໄຟລ໌ທີ່ພົບ, ສະຕິງ, ແລະອື່ນໆ), ແຕ່ເອກະສານບໍ່ໄດ້ບອກວິທີການໄດ້ຮັບແລະນໍາໃຊ້ພວກມັນ. ດັ່ງນັ້ນ, ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງໄດ້ເຂົ້າເຖິງຊັບສິນ LinePragma ແລະວັດຖຸທີ່ພວກເຮົາຕ້ອງການຈະຕັ້ງຢູ່ພາຍໃນມັນ:

// Для примера найдем все методы
CxList methods = Find_Methods();

// В методах найдем по имени метод scope
CxList scope = methods.FindByName("scope");

// Таким образом можо получить путь к файлу
string current_filename = scope.GetFirstGraph().LinePragma.FileName;

// А вот таким - строку, где нашлось срабатывание
int current_line = scope.GetFirstGraph().LinePragma.Line;

// Эти параметры можно использовать по разному
// Например получить все объекты в файле
CxList inFile = All.FindByFileName(current_filename);

// Или найти что происходит в конкретной строке
CxList inLine = inFile.FindByPosition(current_line);

ມັນເປັນມູນຄ່າທີ່ຈະຮັກສາຢູ່ໃນໃຈວ່າ FileName ຕົວຈິງແລ້ວມີເສັ້ນທາງໄປຫາໄຟລ໌, ເພາະວ່າພວກເຮົາໃຊ້ວິທີການ GetFirstGraph.

ຜົນການປະຕິບັດ

ມີຕົວແປພິເສດພາຍໃນ CxQL result, ເຊິ່ງສົ່ງຜົນມາຈາກການປະຕິບັດກົດລະບຽບລາຍລັກອັກສອນຂອງທ່ານ. ມັນໄດ້ຖືກເລີ່ມຕົ້ນໃນທັນທີແລະທ່ານສາມາດຂຽນຜົນໄດ້ຮັບລະດັບປານກາງເຂົ້າໄປໃນມັນ, ປ່ຽນແປງແລະປັບປຸງພວກມັນໃນຂະນະທີ່ທ່ານເຮັດວຽກ. ແຕ່, ຖ້າບໍ່ມີການມອບຫມາຍໃຫ້ຕົວແປນີ້ຫຼືຫນ້າທີ່ຢູ່ໃນກົດລະບຽບ return— ຜົນການປະຕິບັດຈະເປັນສູນສະເຫມີໄປ.

ການສອບຖາມຕໍ່ໄປນີ້ຈະບໍ່ສົ່ງຄືນອັນໃດອັນໜຶ່ງໃຫ້ກັບພວກເຮົາເນື່ອງຈາກການດຳເນີນການ ແລະຈະຫວ່າງເປົ່າສະເໝີ:

// Находим элементы foo
CxList libraries = All.FindByName("foo");

ແຕ່, ໂດຍໄດ້ມອບຫມາຍຜົນການປະຕິບັດໃຫ້ກັບຜົນໄດ້ຮັບການປ່ຽນແປງ magic, ພວກເຮົາຈະເຫັນວ່າການເອີ້ນນີ້ກັບຄືນມາຫາພວກເຮົາ:

// Находим элементы foo
CxList libraries = All.FindByName("foo");

// Выводим, как результат выполнения правила
result = libraries

// Или еще короче
result = All.FindByName("foo");

ການນໍາໃຊ້ຜົນໄດ້ຮັບຂອງກົດລະບຽບອື່ນໆ

ກົດລະບຽບໃນ Checkmarx ສາມາດເອີ້ນວ່າຄ້າຍຄືກັນກັບຫນ້າທີ່ຢູ່ໃນພາສາການຂຽນໂປຼແກຼມປົກກະຕິ. ເມື່ອຂຽນກົດລະບຽບ, ເຈົ້າອາດຈະໃຊ້ຜົນໄດ້ຮັບຂອງການສອບຖາມອື່ນໆ. ຕົວຢ່າງ, ບໍ່ຈໍາເປັນຕ້ອງຊອກຫາວິທີການໂທຫາທັງຫມົດໃນລະຫັດທຸກຄັ້ງ, ພຽງແຕ່ໂທຫາກົດລະບຽບທີ່ຕ້ອງການ:

// Получаем результат выполнения другого правила
CxList methods = Find_Methods();

// Ищем внутри метод foo. 
// Второй параметр false означает, что ищем без чувствительности к регистру
result = methods.FindByShortName("foo", false);

ວິທີການນີ້ຊ່ວຍໃຫ້ທ່ານເຮັດໃຫ້ລະຫັດສັ້ນລົງແລະຫຼຸດຜ່ອນເວລາການປະຕິບັດກົດລະບຽບຢ່າງຫຼວງຫຼາຍ.

ການແກ້ໄຂບັນຫາ

ການຕັດໄມ້

ເມື່ອເຮັດວຽກກັບເຄື່ອງມື, ບາງຄັ້ງມັນກໍ່ບໍ່ສາມາດຂຽນຄໍາຖາມທີ່ຕ້ອງການໄດ້ທັນທີແລະທ່ານຕ້ອງທົດລອງ, ພະຍາຍາມທາງເລືອກທີ່ແຕກຕ່າງກັນ. ສໍາລັບກໍລະນີດັ່ງກ່າວ, ເຄື່ອງມືສະຫນອງການຕັດໄມ້, ເຊິ່ງເອີ້ນວ່າດັ່ງຕໍ່ໄປນີ້:

// Находим что-то
CxList toLog = All.FindByShortName("log");

// Формируем строку и отправляем в лог
cxLog.WriteDebugMessage (“number of DOM elements =” + All.Count);

ແຕ່ມັນເປັນມູນຄ່າທີ່ຈື່ໄວ້ວ່າວິທີການນີ້ພຽງແຕ່ຍອມຮັບເປັນການປ້ອນຂໍ້ມູນ ສາຍ, ດັ່ງນັ້ນມັນຈະບໍ່ສາມາດສະແດງບັນຊີລາຍຊື່ຄົບຖ້ວນຂອງອົງປະກອບທີ່ພົບເຫັນເປັນຜົນມາຈາກການດໍາເນີນງານຄັ້ງທໍາອິດ. ທາງເລືອກທີສອງ, ເຊິ່ງຖືກນໍາໃຊ້ສໍາລັບການ debugging, ແມ່ນການມອບຫມາຍໃຫ້ຕົວແປ magic ເປັນບາງຄັ້ງຄາວ result ຜົນໄດ້ຮັບຂອງການສອບຖາມແລະເບິ່ງສິ່ງທີ່ເກີດຂຶ້ນ. ວິທີການນີ້ແມ່ນບໍ່ສະດວກຫຼາຍ; ທ່ານຈໍາເປັນຕ້ອງໃຫ້ແນ່ໃຈວ່າບໍ່ມີການ overrides ຫຼືການດໍາເນີນງານກັບນີ້ໃນລະຫັດຫຼັງຈາກ. result ຫຼືພຽງແຕ່ຂຽນລະຫັດຂ້າງລຸ່ມນີ້. ຫຼືເຈົ້າສາມາດ, ເຊັ່ນຂ້ອຍ, ລືມເອົາການໂທດັ່ງກ່າວອອກຫຼາຍຄັ້ງຈາກກົດລະບຽບທີ່ກຽມພ້ອມແລ້ວ ແລະສົງໄສວ່າເປັນຫຍັງບໍ່ມີຫຍັງເຮັດວຽກ.

ວິທີທີ່ສະດວກກວ່າແມ່ນການໂທຫາວິທີການ return ກັບພາລາມິເຕີທີ່ຕ້ອງການ. ໃນກໍລະນີນີ້, ການປະຕິບັດຂອງລະບຽບການຈະສິ້ນສຸດລົງແລະພວກເຮົາຈະສາມາດເບິ່ງສິ່ງທີ່ເກີດຂຶ້ນເປັນຜົນຂອງສິ່ງທີ່ພວກເຮົາໄດ້ຂຽນວ່າ:

// Находим что-то
CxList toLog = All.FindByShortName("log");

// Выводим результат выполнения
return toLog

//Все, что написано дальше не будет выполнено
result = All.DataInfluencedBy(toLog)

ບັນຫາການເຂົ້າສູ່ລະບົບ

ມີສະຖານະການໃນເວລາທີ່ທ່ານບໍ່ສາມາດເຂົ້າເຖິງເຄື່ອງມື CxAudit (ທີ່ຖືກນໍາໃຊ້ເພື່ອຂຽນກົດລະບຽບ). ມັນສາມາດມີຫຼາຍເຫດຜົນສໍາລັບການນີ້, ລວມທັງການຂັດຂ້ອງ, ການປັບປຸງ Windows ຢ່າງກະທັນຫັນ, BSOD ແລະສະຖານະການທີ່ບໍ່ໄດ້ຄາດໄວ້ອື່ນໆທີ່ເກີນການຄວບຄຸມຂອງພວກເຮົາ. ໃນກໍລະນີນີ້, ບາງຄັ້ງມີກອງປະຊຸມທີ່ບໍ່ສໍາເລັດໃນຖານຂໍ້ມູນ, ເຊິ່ງປ້ອງກັນບໍ່ໃຫ້ທ່ານເຂົ້າສູ່ລະບົບອີກເທື່ອຫນຶ່ງ. ເພື່ອແກ້ໄຂມັນ, ທ່ານຈໍາເປັນຕ້ອງດໍາເນີນການສອບຖາມຫຼາຍ:

ສໍາລັບ Checkmarx ກ່ອນ 8.6:

// Проверяем, что есть залогиненые пользователи, выполнив запрос в БД
SELECT COUNT(*) FROM [CxDB].[dbo].LoggedinUser WHERE [ClientType] = 6;
 
// Если что-то есть, а на самом деле даже если и нет, попробовать выполнить запрос
DELETE FROM [CxDB].[dbo].LoggedinUser WHERE [ClientType] = 6;

ສໍາລັບ Checkmarx ຫຼັງຈາກ 8.6:

// Проверяем, что есть залогиненые пользователи, выполнив запрос в БД
SELECT COUNT(*) FROM LoggedinUser WHERE (ClientType = 'Audit');
 
// Если что-то есть, а на самом деле даже если и нет, попробовать выполнить запрос
DELETE FROM [CxDB].[dbo].LoggedinUser WHERE (ClientType = 'Audit');

ກົດລະບຽບການຂຽນ

ໃນປັດຈຸບັນພວກເຮົາມາຮອດສ່ວນທີ່ຫນ້າສົນໃຈຫຼາຍທີ່ສຸດ. ເມື່ອທ່ານເລີ່ມຂຽນກົດລະບຽບໃນ CxQL, ສິ່ງທີ່ທ່ານມັກຈະຂາດແມ່ນບໍ່ມີເອກະສານຫຼາຍເປັນຕົວຢ່າງທີ່ມີຊີວິດຊີວາໃນການແກ້ໄຂບັນຫາບາງຢ່າງແລະອະທິບາຍຂະບວນການສອບຖາມໂດຍທົ່ວໄປ.

ຂ້ອຍຈະພະຍາຍາມເຮັດໃຫ້ຊີວິດງ່າຍຂຶ້ນເລັກນ້ອຍສໍາລັບຜູ້ທີ່ກໍາລັງເລີ່ມເຂົ້າໄປໃນພາສາແບບສອບຖາມແລະໃຫ້ຕົວຢ່າງຈໍານວນຫນຶ່ງຂອງການໃຊ້ Custom Queries ເພື່ອແກ້ໄຂບັນຫາບາງຢ່າງ. ບາງສ່ວນຂອງພວກເຂົາແມ່ນຂ້ອນຂ້າງທົ່ວໄປແລະສາມາດນໍາໃຊ້ໃນບໍລິສັດຂອງທ່ານປະຕິບັດໂດຍບໍ່ມີການປ່ຽນແປງ, ຄົນອື່ນແມ່ນສະເພາະຫຼາຍ, ແຕ່ພວກເຂົາຍັງສາມາດຖືກນໍາໃຊ້ໂດຍການປ່ຽນລະຫັດໃຫ້ເຫມາະສົມກັບສະເພາະຂອງຄໍາຮ້ອງສະຫມັກຂອງທ່ານ.

ດັ່ງນັ້ນ, ນີ້ແມ່ນບັນຫາທີ່ພວກເຮົາພົບເລື້ອຍທີ່ສຸດ:

ໜ້າ ວຽກ: ມີຫຼາຍ Flows ໃນຜົນໄດ້ຮັບຂອງການປະຕິບັດກົດລະບຽບແລະຫນຶ່ງໃນນັ້ນແມ່ນຮັງຂອງຄົນອື່ນ, ທ່ານຕ້ອງອອກຈາກຫນຶ່ງໃນນັ້ນ.

ການແກ້ໄຂ: ແທ້ຈິງແລ້ວ, ບາງຄັ້ງ Checkmarx ສະແດງໃຫ້ເຫັນການໄຫຼເຂົ້າຂອງຂໍ້ມູນຈໍານວນຫນຶ່ງທີ່ອາດຈະທັບຊ້ອນກັນແລະເປັນສະບັບຫຍໍ້ຂອງຄົນອື່ນ. ມີວິທີການພິເສດສໍາລັບກໍລະນີດັ່ງກ່າວ ຫຼຸດກະແສໄຟຟ້າ. ຂຶ້ນຢູ່ກັບພາລາມິເຕີ, ມັນຈະເລືອກ Flow ທີ່ສັ້ນທີ່ສຸດຫຼືຍາວທີ່ສຸດ:

// Оставить только длинные Flow
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceSmallFlow);

// Оставить только короткие Flow
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceBigFlow);

ໜ້າ ວຽກ: ຂະຫຍາຍບັນຊີລາຍຊື່ຂອງຂໍ້ມູນທີ່ລະອຽດອ່ອນທີ່ເຄື່ອງມືປະຕິກິລິຍາ

ການແກ້ໄຂ: Checkmarx ມີກົດລະບຽບພື້ນຖານ, ຜົນໄດ້ຮັບທີ່ຖືກນໍາໃຊ້ໂດຍການສອບຖາມອື່ນໆຈໍານວນຫຼາຍ. ໂດຍການເສີມບາງກົດລະບຽບເຫຼົ່ານີ້ດ້ວຍຂໍ້ມູນສະເພາະກັບແອັບພລິເຄຊັນຂອງທ່ານ, ທ່ານສາມາດປັບປຸງຜົນການສະແກນຂອງທ່ານໄດ້ທັນທີ. ຂ້າງລຸ່ມນີ້ແມ່ນກົດລະບຽບຕົວຢ່າງເພື່ອໃຫ້ທ່ານເລີ່ມຕົ້ນ:

General_privacy_violation_list

ໃຫ້ເພີ່ມຕົວແປຫຼາຍອັນທີ່ໃຊ້ໃນແອັບພລິເຄຊັນຂອງພວກເຮົາເພື່ອເກັບຂໍ້ມູນທີ່ລະອຽດອ່ອນ:

// Получаем результат выполнения базового правила
result = base.General_privacy_violation_list();

// Ищем элементы, которые попадают под простые регулярные выражения. Можно дополнить характерными для вас паттернами.
CxList personalList = All.FindByShortNames(new List<string> {
	"*securityToken*", "*sessionId*"}, false);

// Добавляем к конечному результату
result.Add(personalList);

ໜ້າ ວຽກ: ຂະຫຍາຍລາຍຊື່ຕົວແປດ້ວຍລະຫັດຜ່ານ

ການແກ້ໄຂ: ຂ້າພະເຈົ້າຂໍແນະນໍາໃຫ້ທັນທີເອົາໃຈໃສ່ກົດລະບຽບພື້ນຖານສໍາລັບການກໍານົດລະຫັດຜ່ານໃນລະຫັດແລະເພີ່ມບັນຊີລາຍຊື່ຂອງຊື່ຕົວແປທີ່ຖືກນໍາໃຊ້ທົ່ວໄປໃນບໍລິສັດຂອງທ່ານ.

password_privacy_violation_list

CxList allStrings = All.FindByType("String"); 
allStrings.Add(All.FindByType(typeof(StringLiteral))); 
allStrings.Add(Find_UnknownReference());
allStrings.Add(All.FindByType(typeof (Declarator)));
allStrings.Add(All.FindByType(typeof (MemberAccess)));
allStrings.Add(All.FindByType(typeof(EnumMemberDecl))); 
allStrings.Add(Find_Methods().FindByShortName("get*"));

// Дополняем дефолтный список переменных
List < string > pswdIncludeList = new List<string>{"*password*", "*psw", "psw*", "pwd*", "*pwd", "*authKey*", "pass*", "cipher*", "*cipher", "pass", "adgangskode", "benutzerkennwort", "chiffre", "clave", "codewort", "contrasena", "contrasenya", "geheimcode", "geslo", "heslo", "jelszo", "kennwort", "losenord", "losung", "losungswort", "lozinka", "modpas", "motdepasse", "parol", "parola", "parole", "pasahitza", "pasfhocal", "passe", "passord", "passwort", "pasvorto", "paswoord", "salasana", "schluessel", "schluesselwort", "senha", "sifre", "wachtwoord", "wagwoord", "watchword", "zugangswort", "PAROLACHIAVE", "PAROLA CHIAVE", "PAROLECHIAVI", "PAROLE CHIAVI", "paroladordine", "verschluesselt", "sisma",
                "pincode",
								"pin"};
								
List < string > pswdExcludeList = new List<string>{"*pass", "*passable*", "*passage*", "*passenger*", "*passer*", "*passing*", "*passion*", "*passive*", "*passover*", "*passport*", "*passed*", "*compass*", "*bypass*", "pass-through", "passthru", "passthrough", "passbytes", "passcount", "passratio"};

CxList tempResult = allStrings.FindByShortNames(pswdIncludeList, false);
CxList toRemove = tempResult.FindByShortNames(pswdExcludeList, false);
tempResult -= toRemove;
tempResult.Add(allStrings.FindByShortName("pass", false));

foreach (CxList r in tempResult)
{
	CSharpGraph g = r.data.GetByIndex(0) as CSharpGraph;
	if(g != null && g.ShortName != null && g.ShortName.Length < 50)
	{
		result.Add(r);
	}
}

ໜ້າ ວຽກ: ເພີ່ມກອບທີ່ໃຊ້ແລ້ວທີ່ບໍ່ຮອງຮັບໂດຍ Checkmarx

ການແກ້ໄຂ: ຄໍາຖາມທັງຫມົດໃນ Checkmarx ແມ່ນແບ່ງອອກຕາມພາສາ, ດັ່ງນັ້ນທ່ານຈໍາເປັນຕ້ອງເພີ່ມກົດລະບຽບສໍາລັບແຕ່ລະພາສາ. ຂ້າງລຸ່ມນີ້ແມ່ນບາງຕົວຢ່າງຂອງກົດລະບຽບດັ່ງກ່າວ.

ຖ້າຫ້ອງສະຫມຸດຖືກໃຊ້ທີ່ເສີມຫຼືປ່ຽນຫນ້າທີ່ມາດຕະຖານ, ພວກເຂົາສາມາດຖືກເພີ່ມເຂົ້າໃນກົດລະບຽບພື້ນຖານໄດ້ຢ່າງງ່າຍດາຍ. ຫຼັງຈາກນັ້ນ, ທຸກຄົນທີ່ໃຊ້ມັນທັນທີຈະຮຽນຮູ້ກ່ຽວກັບການແນະນໍາໃຫມ່. ຕົວຢ່າງ, ຫ້ອງສະຫມຸດສໍາລັບການເຂົ້າສູ່ລະບົບ Android ແມ່ນ Timber ແລະ Loggi. ໃນຊຸດພື້ນຖານ, ບໍ່ມີກົດລະບຽບສໍາລັບການກໍານົດການໂທທີ່ບໍ່ແມ່ນລະບົບ, ດັ່ງນັ້ນຖ້າລະຫັດຜ່ານຫຼືຕົວລະບຸເຊດຊັນເຂົ້າໄປໃນບັນທຶກ, ພວກເຮົາຈະບໍ່ຮູ້ກ່ຽວກັບມັນ. ໃຫ້ພະຍາຍາມເພີ່ມຄໍານິຍາມຂອງວິທີການດັ່ງກ່າວໃນກົດລະບຽບ Checkmarx.

ຕົວຢ່າງລະຫັດການທົດສອບທີ່ນໍາໃຊ້ຫ້ອງສະຫມຸດ Timber ສໍາລັບການບັນທຶກ:

package com.death.timberdemo;

import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;

import timber.log.Timber;

public class MainActivity extends AppCompatActivity {
    private static final String TAG = MainActivity.class.getSimpleName();

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        Timber.e("Error Message");
        Timber.d("Debug Message");

        Timber.tag("Some Different tag").e("And error message");
    }
}

ແລະນີ້ແມ່ນຕົວຢ່າງຂອງຄໍາຮ້ອງຂໍ Checkmarx, ເຊິ່ງຈະຊ່ວຍໃຫ້ທ່ານສາມາດເພີ່ມຄໍານິຍາມຂອງການໂທຫາວິທີການ Timber ເປັນຈຸດອອກສໍາລັບຂໍ້ມູນຈາກຄໍາຮ້ອງສະຫມັກ:

FindAndroidOutputs

// Получаем результат выполнения базового правила
result = base.Find_Android_Outputs();

// Дополняем вызовами, которые приходят из библиотеки Timber
CxList timber = All.FindByExactMemberAccess("Timber.*") +
    All.FindByShortName("Timber").GetMembersOfTarget();

// Добавляем к конечному результату
result.Add(timber);

ແລະທ່ານຍັງສາມາດເພີ່ມກົດລະບຽບໃກ້ຄຽງ, ແຕ່ອັນນີ້ກ່ຽວຂ້ອງໂດຍກົງກັບການເຂົ້າສູ່ລະບົບ Android:

ຊອກຫາAndroidLog_Outputs

// Получаем результат выполнения базового правила
result = base.Find_Android_Log_Outputs();

// Дополняем вызовами, которые приходят из библиотеки Timber
result.Add(
  All.FindByExactMemberAccess("Timber.*") +
  All.FindByShortName("Timber").GetMembersOfTarget()
);

ນອກຈາກນັ້ນ, ຖ້າແອັບພລິເຄຊັນ Android ໃຊ້ ຜູ້ຈັດການວຽກ ສໍາລັບການເຮັດວຽກແບບ asynchronous, ມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະແຈ້ງ Checkmarx ກ່ຽວກັບເລື່ອງນີ້ໂດຍການເພີ່ມວິທີການຮັບຂໍ້ມູນຈາກຫນ້າວຽກ. getInputData:

FindAndroidRead

// Получаем результат выполнения базового правила
result = base.Find_Android_Read();

// Дополняем вызовом функции getInputData, которая используется в WorkManager
CxList getInputData = All.FindByShortName("getInputData");

// Добавляем к конечному результату
result.Add(getInputData.GetMembersOfTarget());

ໜ້າ ວຽກ: ກຳລັງຊອກຫາຂໍ້ມູນທີ່ລະອຽດອ່ອນໃນ plist ສຳລັບໂຄງການ iOS

ການແກ້ໄຂ: iOS ມັກຈະໃຊ້ໄຟລ໌ພິເສດທີ່ມີນາມສະກຸນ .plist ເພື່ອຈັດເກັບຕົວແປ ແລະຄ່າຕ່າງໆ. ການເກັບຮັກສາລະຫັດຜ່ານ, ໂທເຄັນ, ກະແຈ ແລະຂໍ້ມູນລະອຽດອ່ອນອື່ນໆຢູ່ໃນໄຟລ໌ເຫຼົ່ານີ້ແມ່ນບໍ່ແນະນໍາ, ຍ້ອນວ່າເຂົາເຈົ້າສາມາດໄດ້ຮັບການສະກັດອອກຈາກອຸປະກອນໂດຍບໍ່ມີບັນຫາໃດໆ.

ໄຟລ໌ Plist ມີຄຸນສົມບັດທີ່ບໍ່ຊັດເຈນກັບຕາເປົ່າ, ແຕ່ມີຄວາມສໍາຄັນກັບ Checkmarx. ໃຫ້ຂຽນກົດລະບຽບທີ່ຈະຄົ້ນຫາຂໍ້ມູນທີ່ພວກເຮົາຕ້ອງການແລະບອກພວກເຮົາວ່າລະຫັດຜ່ານຫຼື tokens ຖືກກ່າວເຖິງຢູ່ບ່ອນໃດບ່ອນຫນຶ່ງ.

ຕົວຢ່າງຂອງໄຟລ໌ດັ່ງກ່າວ, ເຊິ່ງປະກອບມີ token ສໍາລັບການສື່ສານກັບບໍລິການ backend:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>DeviceDictionary</key>
	<dict>
		<key>phone</key>
		<string>iPhone 6s</string>
	</dict>
	<key>privatekey</key>
	<string>MIICXAIBAAKBgQCqGKukO1De7zhZj6+</string>
</dict>
</plist>

ແລະກົດລະບຽບສໍາລັບ Checkmarx, ເຊິ່ງມີຫຼາຍ nuances ທີ່ຄວນຈະຖືກພິຈາລະນາໃນເວລາຂຽນ:

// Используем результат выполнения правила по поиску файлов plist, чтобы уменьшить время работы правила и 
CxList plist = Find_Plist_Elements();

// Инициализируем новую переменную
CxList dictionarySettings = All.NewCxList();

// Теперь добавим поиск всех интересующих нас значений. В дальнейшем можно расширять этот список.
// Для поиска значений, как ни странно, используется FindByMemberAccess - поиск обращений к методам. Второй параметр внутри функции, false, означает, что поиск нечувствителен к регистру
dictionarySettings.Add(plist.FindByMemberAccess("privatekey", false));
dictionarySettings.Add(plist.FindByMemberAccess("privatetoken", false));

// Для корректного поиска из-за особенностей структуры plist - нужно искать по типу "If statement"
CxList ifStatements = plist.FindByType(typeof(IfStmt));

// Добавляем в результат, перед этим получив родительский узел - для правильного отображения
result = dictionarySettings.FindByFathers(ifStatements);

ໜ້າ ວຽກ: ຊອກຫາຂໍ້ມູນໃນ XML

ການແກ້ໄຂ: Checkmarx ມີຫນ້າທີ່ສະດວກຫຼາຍສໍາລັບການເຮັດວຽກກັບ XML ແລະການຊອກຫາຄຸນຄ່າ, tags, ຄຸນລັກສະນະແລະອື່ນໆ. ແຕ່, ແຕ່ຫນ້າເສຍດາຍ, ມີຄວາມຜິດພາດໃນເອກະສານເນື່ອງຈາກການທີ່ບໍ່ມີຕົວຢ່າງດຽວເຮັດວຽກ. ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າຂໍ້ບົກພ່ອງນີ້ໄດ້ຖືກລົບລ້າງໃນເອກະສານສະບັບຫລ້າສຸດ, ຈົ່ງລະມັດລະວັງຖ້າທ່ານໃຊ້ເອກະສານສະບັບກ່ອນຫນ້າ.

ນີ້ແມ່ນຕົວຢ່າງທີ່ບໍ່ຖືກຕ້ອງຈາກເອກະສານ:

// Код работать не будет
result = All.FindXmlAttributesByNameAndValue("*.app", 8, “id”, "error- section", false, true);

ເປັນຜົນມາຈາກຄວາມພະຍາຍາມປະຕິບັດ, ພວກເຮົາຈະໄດ້ຮັບຄວາມຜິດພາດທີ່ All ບໍ່ມີວິທີການດັ່ງກ່າວ ... ແລະນີ້ແມ່ນຄວາມຈິງ, ເນື່ອງຈາກວ່າມີພື້ນທີ່ວັດຖຸພິເສດແຍກຕ່າງຫາກສໍາລັບການນໍາໃຊ້ຫນ້າທີ່ສໍາລັບການເຮັດວຽກກັບ XML - cxXPath. ນີ້ແມ່ນສິ່ງທີ່ຄໍາຖາມທີ່ຖືກຕ້ອງຊອກຫາການຕັ້ງຄ່າໃນ Android ທີ່ອະນຸຍາດໃຫ້ນໍາໃຊ້ການຈະລາຈອນ HTTP:

// Правильный вариант с использованием cxXPath
result = cxXPath.FindXmlAttributesByNameAndValue("*.xml", 8, "cleartextTrafficPermitted", "true", false, true);

ໃຫ້ເບິ່ງມັນໃນລາຍລະອຽດເລັກນ້ອຍ, ເນື່ອງຈາກວ່າ syntax ສໍາລັບຫນ້າທີ່ທັງຫມົດແມ່ນຄ້າຍຄືກັນ, ຫຼັງຈາກທີ່ທ່ານໄດ້ຄິດອອກຫນຶ່ງ, ຫຼັງຈາກນັ້ນທ່ານພຽງແຕ່ຕ້ອງການເລືອກຫນຶ່ງທີ່ທ່ານຕ້ອງການ. ດັ່ງນັ້ນ, ຕາມລໍາດັບຕາມຕົວກໍານົດການ:

"*.xml"- ຫນ້າກາກຂອງໄຟລ໌ທີ່ຈະຊອກຫາ
8 — id ຂອງພາສາທີ່ໃຊ້ກົດລະບຽບ
"cleartextTrafficPermitted"- ຊື່ຄຸນສົມບັດໃນ xml
"true" — ຄຸນຄ່າຂອງຄຸນສົມບັດນີ້
false — ການນໍາໃຊ້ສໍານວນປົກກະຕິໃນເວລາທີ່ຊອກຫາ
true — ຫມາຍຄວາມວ່າການຄົ້ນຫາຈະໄດ້ຮັບການປະຕິບັດການລະເລີຍກໍລະນີ, ນັ້ນແມ່ນ, case-insensitive

ເປັນຕົວຢ່າງ, ພວກເຮົາໄດ້ໃຊ້ກົດລະບຽບທີ່ລະບຸບໍ່ຖືກຕ້ອງ, ຈາກຈຸດຄວາມປອດໄພຂອງທັດສະນະ, ການຕັ້ງຄ່າການເຊື່ອມຕໍ່ເຄືອຂ່າຍໃນ Android ທີ່ອະນຸຍາດໃຫ້ການສື່ສານກັບເຄື່ອງແມ່ຂ່າຍໂດຍຜ່ານ HTTP protocol. ຕົວຢ່າງຂອງການຕັ້ງຄ່າທີ່ມີຄຸນສົມບັດ cleartextTrafficPermitted ທີ່ມີຄວາມຫມາຍ true:

<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
        <domain-config cleartextTrafficPermitted="true">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </domain-config>
</network-security-config>

ໜ້າ ວຽກ: ຈໍາກັດຜົນໄດ້ຮັບໂດຍຊື່ໄຟລ໌ / ເສັ້ນທາງ

ການແກ້ໄຂ: ໃນຫນຶ່ງໃນໂຄງການຂະຫນາດໃຫຍ່ທີ່ກ່ຽວຂ້ອງກັບການພັດທະນາຄໍາຮ້ອງສະຫມັກມືຖືສໍາລັບ Android, ພວກເຮົາໄດ້ພົບຂໍ້ດີທີ່ບໍ່ຖືກຕ້ອງຂອງກົດລະບຽບທີ່ກໍານົດການຕັ້ງຄ່າ obfuscation. ຄວາມຈິງແມ່ນວ່າກົດລະບຽບອອກຈາກປ່ອງຊອກຫາຢູ່ໃນໄຟລ໌ build.gradle ການຕັ້ງຄ່າທີ່ຮັບຜິດຊອບສໍາລັບການນໍາໃຊ້ກົດລະບຽບ obfuscation ສໍາລັບສະບັບປ່ອຍຂອງຄໍາຮ້ອງສະຫມັກ.

ແຕ່ໃນໂຄງການຂະຫນາດໃຫຍ່ບາງຄັ້ງມີໄຟລ໌ເດັກນ້ອຍ build.gradle, ເຊິ່ງຫມາຍເຖິງຫ້ອງສະຫມຸດລວມຢູ່ໃນໂຄງການ. peculiarity ແມ່ນວ່າເຖິງແມ່ນວ່າໄຟລ໌ເຫຼົ່ານີ້ບໍ່ໄດ້ຊີ້ໃຫ້ເຫັນຄວາມຕ້ອງການສໍາລັບການ obfuscation, ການຕັ້ງຄ່າຂອງເອກະສານປະກອບພໍ່ແມ່ຈະຖືກນໍາໃຊ້ໃນລະຫວ່າງການລວບລວມ.

ດັ່ງນັ້ນ, ວຽກງານແມ່ນເພື່ອຕັດ triggers ໃນໄຟລ໌ເດັກນ້ອຍທີ່ເປັນຂອງຫ້ອງສະຫມຸດ. ພວກເຂົາສາມາດຖືກກໍານົດໂດຍການມີສາຍ apply 'com.android.library'.

ຕົວຢ່າງລະຫັດຈາກໄຟລ໌ build.gradle, ເຊິ່ງກໍານົດຄວາມຕ້ອງການສໍາລັບ obfuscation:

apply plugin: 'com.android.application'

android {
    compileSdkVersion 24
    buildToolsVersion "24.0.2"
    defaultConfig {
        ...
    }

    buildTypes {
        release {
            minifyEnabled true
            ...
        }
    }
}

dependencies {
  ...
}

ຕົວຢ່າງໄຟລ໌ build.gradle ສໍາລັບຫ້ອງສະຫມຸດລວມຢູ່ໃນໂຄງການທີ່ບໍ່ມີການຕັ້ງຄ່ານີ້:

apply plugin: 'android-library'

dependencies {
  compile 'com.android.support:support-v4:18.0.+'
}

android {
  compileSdkVersion 14
  buildToolsVersion '17.0.0'
  ...
}

ແລະກົດລະບຽບສໍາລັບ Checkmarx:

ProGuardObfuscation ບໍ່ໃຊ້

// Поиск метода release среди всех методов в Gradle файлах
CxList releaseMethod = Find_Gradle_Method("release");

// Все объекты из файлов build.gradle
CxList gradleBuildObjects = Find_Gradle_Build_Objects();

// Поиск того, что находится внутри метода "release" среди всех объектов из файлов build.gradle
CxList methodInvokesUnderRelease = gradleBuildObjects.FindByType(typeof(MethodInvokeExpr)).GetByAncs(releaseMethod);

// Ищем внутри gradle-файлов строку "com.android.library" - это значит, что данный файл относится к библиотеке и его необходимо исключить из правила
CxList android_library = gradleBuildObjects.FindByName("com.android.library");

// Инициализация пустого массива
List<string> libraries_path = new List<string> {};

// Проходим через все найденные "дочерние" файлы
foreach(CxList library in android_library)
{
    // Получаем путь к каждому файлу
	string file_name_library = library.GetFirstGraph().LinePragma.FileName;
    
    // Добавляем его в наш массив
	libraries_path.Add(file_name_library);
}

// Ищем все вызовы включения обфускации в релизных настройках
CxList minifyEnabled = methodInvokesUnderRelease.FindByShortName("minifyEnabled");

// Получаем параметры этих вызовов
CxList minifyValue = gradleBuildObjects.GetParameters(minifyEnabled, 0);

// Ищем среди них включенные
CxList minifyValueTrue = minifyValue.FindByShortName("true");

// Немного магии, если не нашли стандартным способом :D
if (minifyValueTrue.Count == 0) {
	minifyValue = minifyValue.FindByAbstractValue(abstractValue => abstractValue is TrueAbstractValue);
} else {
    // А если всё-таки нашли, то предыдущий результат и оставляем
	minifyValue = minifyValueTrue;	
}

// Если не нашлось таких методов
if (minifyValue.Count == 0)
{
    // Для более корректного отображения места срабатывания в файле ищем или buildTypes или android
	CxList tempResult = All.NewCxList();
	CxList buildTypes = Find_Gradle_Method("buildTypes");
	if (buildTypes.Count > 0) {
		tempResult = buildTypes;
	} else {
		tempResult = Find_Gradle_Method("android");
	}
	
	// Для каждого из найденных мест срабатывания проходим и определяем, дочерний или основной файлы сборки
	foreach(CxList res in tempResult)
	{
        // Определяем, в каком файле был найден buildType или android методы
		string file_name_result = res.GetFirstGraph().LinePragma.FileName;
        
        // Если такого файла нет в нашем списке "дочерних" файлов - значит это основной файл и его можно добавить в результат
		if (libraries_path.Contains(file_name_result) == false){
			result.Add(res);
		}
	}
}

ວິທີການນີ້ສາມາດຂ້ອນຂ້າງທົ່ວໄປແລະເປັນປະໂຫຍດບໍ່ພຽງແຕ່ສໍາລັບຄໍາຮ້ອງສະຫມັກ Android, ແຕ່ຍັງສໍາລັບກໍລະນີອື່ນໆໃນເວລາທີ່ທ່ານຕ້ອງການກໍານົດວ່າຜົນໄດ້ຮັບເປັນຂອງໄຟລ໌ສະເພາະໃດຫນຶ່ງ.

ໜ້າ ວຽກ: ເພີ່ມການສະຫນັບສະຫນູນສໍາລັບຫ້ອງສະຫມຸດພາກສ່ວນທີສາມຖ້າ syntax ບໍ່ໄດ້ຮັບການສະຫນັບສະຫນູນຢ່າງເຕັມທີ່

ການແກ້ໄຂ: ຈໍານວນຂອງກອບຕ່າງໆທີ່ໃຊ້ໃນຂະບວນການຂຽນລະຫັດແມ່ນພຽງແຕ່ອອກຈາກຕາຕະລາງ. ແນ່ນອນ, Checkmarx ບໍ່ສະເຫມີຮູ້ກ່ຽວກັບການມີຢູ່ຂອງເຂົາເຈົ້າ, ແລະວຽກງານຂອງພວກເຮົາແມ່ນເພື່ອສອນມັນໃຫ້ເຂົ້າໃຈວ່າວິທີການບາງຢ່າງເປັນສະເພາະຂອງກອບນີ້. ບາງຄັ້ງນີ້ແມ່ນສັບສົນໂດຍຄວາມຈິງທີ່ວ່າກອບໃຊ້ຊື່ຟັງຊັນທີ່ພົບເລື້ອຍຫຼາຍແລະມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະກໍານົດຄວາມສໍາພັນຂອງການໂທໂດຍສະເພາະກັບຫ້ອງສະຫມຸດສະເພາະ.

ຄວາມຫຍຸ້ງຍາກແມ່ນວ່າ syntax ຂອງຫ້ອງສະຫມຸດດັ່ງກ່າວບໍ່ໄດ້ຖືກຮັບຮູ້ຢ່າງຖືກຕ້ອງແລະທ່ານຕ້ອງທົດລອງເພື່ອຫຼີກເວັ້ນການໄດ້ຮັບຈໍານວນຂະຫນາດໃຫຍ່ຂອງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງ. ມີຫຼາຍທາງເລືອກເພື່ອປັບປຸງຄວາມຖືກຕ້ອງຂອງການສະແກນແລະແກ້ໄຂບັນຫາ:

ທາງເລືອກທໍາອິດ, ພວກເຮົາຮູ້ແນ່ນອນວ່າຫ້ອງສະຫມຸດຖືກນໍາໃຊ້ໃນໂຄງການສະເພາະໃດຫນຶ່ງແລະສາມາດນໍາໃຊ້ກົດລະບຽບໃນລະດັບທີມງານ. ແຕ່ຖ້າທີມງານຕັດສິນໃຈທີ່ຈະໃຊ້ວິທີທີ່ແຕກຕ່າງກັນຫຼືໃຊ້ຫ້ອງສະຫມຸດຫຼາຍບ່ອນທີ່ຊື່ຟັງຊັນທັບຊ້ອນກັນ, ພວກເຮົາສາມາດໄດ້ຮັບຮູບພາບທີ່ບໍ່ຫນ້າພໍໃຈຂອງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງຈໍານວນຫລາຍ.
ທາງເລືອກທີ່ສອງແມ່ນການຄົ້ນຫາສໍາລັບໄຟລ໌ທີ່ຫ້ອງສະຫມຸດໄດ້ຖືກນໍາເຂົ້າຢ່າງຈະແຈ້ງ. ດ້ວຍວິທີການນີ້, ພວກເຮົາສາມາດແນ່ໃຈວ່າຫ້ອງສະຫມຸດທີ່ພວກເຮົາຕ້ອງການແມ່ນຖືກນໍາໃຊ້ຢ່າງແທ້ຈິງໃນໄຟລ໌ນີ້.
ແລະທາງເລືອກທີສາມແມ່ນການນໍາໃຊ້ສອງວິທີການຂ້າງເທິງນີ້ຮ່ວມກັນ.

ເປັນຕົວຢ່າງ, ໃຫ້ເບິ່ງຫ້ອງສະຫມຸດທີ່ມີຊື່ສຽງໃນວົງແຄບ ລ່ອງ ສໍາລັບພາສາການຂຽນໂປລແກລມ Scala, ຄື, ຫນ້າທີ່ Splicing ຄ່າຕົວຫນັງສື. ໂດຍທົ່ວໄປ, ເພື່ອຜ່ານພາລາມິເຕີໄປຫາຄໍາຖາມ SQL, ທ່ານຕ້ອງໃຊ້ຕົວປະຕິບັດການ $, ເຊິ່ງທົດແທນຂໍ້ມູນເຂົ້າໄປໃນ SQL query ທີ່ໄດ້ກໍານົດໄວ້ກ່ອນ. ນັ້ນແມ່ນ, ໃນຄວາມເປັນຈິງ, ມັນແມ່ນການປຽບທຽບໂດຍກົງຂອງຄໍາຖະແຫຼງທີ່ກະກຽມໃນ Java. ແຕ່, ຖ້າທ່ານຕ້ອງການສ້າງແບບເຄື່ອນໄຫວແບບສອບຖາມ SQL, ສໍາລັບຕົວຢ່າງ, ຖ້າທ່ານຕ້ອງການຜ່ານຊື່ຕາຕະລາງ, ທ່ານສາມາດນໍາໃຊ້ຕົວປະຕິບັດການ. #$, ເຊິ່ງຈະທົດແທນຂໍ້ມູນໂດຍກົງເຂົ້າໃນ query (ເກືອບຄືກັບ string concatenation).

ລະຫັດຕົວຢ່າງ:

// В общем случае - значения, контролируемые пользователем
val table = "coffees"
sql"select * from #$table where name = $name".as[Coffee].headOption

Checkmarx ຍັງບໍ່ທັນຮູ້ວິທີການກວດພົບການໃຊ້ Splicing Literal Values ແລະ skip operators #$, ສະນັ້ນໃຫ້ພວກເຮົາພະຍາຍາມສອນມັນເພື່ອກໍານົດການສັກຢາ SQL ທີ່ມີທ່າແຮງແລະເນັ້ນໃສ່ສະຖານທີ່ທີ່ຖືກຕ້ອງໃນລະຫັດ:

// Находим все импорты
CxList imports = All.FindByType(typeof(Import));

// Ищем по имени, есть ли в импортах slick
CxList slick = imports.FindByShortName("slick");

// Некоторый флаг, определяющий, что импорт библиотеки в коде присутствует
// Для более точного определения - можно применить подход с именем файла
bool not_empty_list = false;
foreach (CxList r in slick)
{
    // Если встретили импорт, считаем, что slick используется
	not_empty_list = true;
}

if (not_empty_list) {
    // Ищем вызовы, в которые передается SQL-строка
	CxList sql = All.FindByShortName("sql");
	sql.Add(All.FindByShortName("sqlu"));
	
	// Определяем данные, которые попадают в эти вызовы
	CxList data_sql = All.DataInfluencingOn(sql);
	
	// Так как синтакис не поддерживается, можно применить подход с регулярными выражениями
	// RegExp стоит использовать крайне осторожно и не применять его на большом количестве данных, так как это может сильно повлиять на производительность
	CxList find_possible_inj = data_sql.FindByRegex(@"#$", true, true, true);

    // Избавляемся от лишних срабатываний, если они есть и выводим в результат
	result = find_possible_inj.FindByType(typeof(BinaryExpr));
}

ໜ້າ ວຽກ: ຊອກຫາຟັງຊັນທີ່ມີຄວາມສ່ຽງທີ່ໃຊ້ໃນຫ້ອງສະໝຸດແຫຼ່ງເປີດ

ການແກ້ໄຂ: ຫຼາຍໆບໍລິສັດໃຊ້ເຄື່ອງມືກວດສອບແຫຼ່ງເປີດ (ການປະຕິບັດ OSA) ເພື່ອກວດຫາການໃຊ້ຫ້ອງສະໝຸດສະບັບທີ່ມີຄວາມສ່ຽງໃນແອັບພລິເຄຊັນທີ່ພັດທະນາແລ້ວ. ບາງຄັ້ງມັນບໍ່ສາມາດອັບເດດຫ້ອງສະໝຸດດັ່ງກ່າວໃຫ້ເປັນເວີຊັນທີ່ປອດໄພໄດ້. ໃນບາງກໍລະນີມີຂໍ້ຈໍາກັດທີ່ເປັນປະໂຫຍດ, ໃນບາງກໍລະນີບໍ່ມີສະບັບທີ່ປອດໄພທັງຫມົດ. ໃນກໍລະນີນີ້, ການປະສົມປະສານຂອງການປະຕິບັດ SAST ແລະ OSA ຈະຊ່ວຍກໍານົດວ່າຫນ້າທີ່ນໍາໄປສູ່ການຂູດຮີດຂອງຊ່ອງໂຫວ່ບໍ່ໄດ້ຖືກນໍາໃຊ້ໃນລະຫັດ.

ແຕ່ບາງຄັ້ງ, ໂດຍສະເພາະເມື່ອພິຈາລະນາ JavaScript, ນີ້ອາດຈະບໍ່ເປັນວຽກທີ່ຫຍຸ້ງຍາກ. ຂ້າງລຸ່ມນີ້ແມ່ນການແກ້ໄຂ, ບາງທີອາດບໍ່ເຫມາະສົມ, ແຕ່ຢ່າງໃດກໍ່ຕາມ, ການເຮັດວຽກ, ການນໍາໃຊ້ຕົວຢ່າງຂອງຄວາມອ່ອນແອໃນອົງປະກອບ. lodash ໃນວິທີການ template и *set.

ຕົວຢ່າງການທົດສອບລະຫັດທີ່ມີຄວາມສ່ຽງໃນໄຟລ໌ JS:

/**
 * Template example
 */

'use strict';
var _ = require("./node_modules/lodash.js");


// Use the "interpolate" delimiter to create a compiled template.
var compiled = _.template('hello <%= js %>!');
console.log(compiled({ 'js': 'lodash' }));
// => 'hello lodash!'

// Use the internal `print` function in "evaluate" delimiters.

var compiled = _.template('<% print("hello " + js); %>!');
console.log(compiled({ 'js': 'lodash' }));
// => 'hello lodash!'

ແລະເມື່ອເຊື່ອມຕໍ່ໂດຍກົງໃນ html:

<!DOCTYPE html>
<html>
<head>
    <title>Lodash Tutorial</title>
    <script src="./node_modules/lodash.js"></script>
    <script type="text/javascript">
  // Lodash chunking array
        nums = [1, 2, 3, 4, 5, 6, 7, 8, 9];

        let c1 = _.template('<% print("hello " + js); %>!');
        console.log(c1);

        let c2 = _.template('<% print("hello " + js); %>!');
        console.log(c2);
    </script>
</head>
<body></body>
</html>

ພວກເຮົາກໍາລັງຊອກຫາວິທີການທີ່ມີຄວາມສ່ຽງທັງຫມົດຂອງພວກເຮົາ, ເຊິ່ງໄດ້ລະບຸໄວ້ໃນຊ່ອງໂຫວ່:

// Ищем все строки: в которых встречается строка lodash (предполагаем, что это объявление импорта библиотеки
CxList lodash_strings = Find_String_Literal().FindByShortName("*lodash*");

// Ищем все данные: которые взаимодействуют с этими строками
CxList data_on_lodash = All.InfluencedBy(lodash_strings);


// Задаем список уязвимых методов
List<string> vulnerable_methods = new List<string> {"template", "*set"};

// Ищем все наши уязвимые методы, которые перечисленны в уязвимостях и отфильтровываем их только там, где они вызывались
CxList vulnerableMethods = All.FindByShortNames(vulnerable_methods).FindByType(typeof(MethodInvokeExpr));

//Находим все данные: которые взаимодействуют с данными методами
CxList vulnFlow = All.InfluencedBy(vulnerableMethods);

// Если есть пересечение по этим данным - кладем в результат
result = vulnFlow * data_on_lodash;

// Формируем список путей по которым мы уже прошли, чтобы фильтровать в дальнейшем дубли
List<string> lodash_result_path = new List<string> {};

foreach(CxList lodash_result in result)
{
    // Очередной раз получаем пути к файлам
	string file_name = lodash_result.GetFirstGraph().LinePragma.FileName;
	lodash_result_path.Add(file_name);
}

// Дальше идет часть относящаяся к html файлам, так как в них мы не можем проследить откуда именно идет вызов
// Формируем массив путей файлов, чтобы быть уверенными, что срабатывания уязвимых методов были именно в тех файлах, в которых объявлен lodash
List<string> lodash_path = new List<string> {};
foreach(CxList string_lodash in lodash_strings)
{
	string file_name = string_lodash.GetFirstGraph().LinePragma.FileName;
	lodash_path.Add(file_name);
}

// Перебираем все уязвимые методы и убеждаемся, что они вызваны в тех же файлах, что и объявление/включение lodash
foreach(CxList method in vulnerableMethods)
{
	string file_name_method = method.GetFirstGraph().LinePragma.FileName;
	if (lodash_path.Contains(file_name_method) == true && lodash_result_path.Contains(file_name_method) == false){
		result.Add(method);
	}
}

// Убираем все UknownReferences и оставляем самый "длинный" из путей, если такие встречаются
result = result.ReduceFlow(CxList.ReduceFlowType.ReduceSmallFlow) - result.FindByType(typeof(UnknownReference));

ໜ້າ ວຽກ: ຊອກຫາໃບຢັ້ງຢືນທີ່ຝັງຢູ່ໃນແອັບພລິເຄຊັນ

ການແກ້ໄຂ: ມັນບໍ່ແມ່ນເລື່ອງແປກທີ່ສໍາລັບແອັບພລິເຄຊັນ, ໂດຍສະເພາະໂທລະສັບມືຖື, ທີ່ຈະໃຊ້ໃບຢັ້ງຢືນຫຼືກະແຈເພື່ອເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍຕ່າງໆຫຼືກວດສອບ SSL-Pinning. ຈາກທັດສະນະຄວາມປອດໄພ, ການເກັບຮັກສາສິ່ງດັ່ງກ່າວໄວ້ໃນລະຫັດບໍ່ແມ່ນການປະຕິບັດທີ່ດີທີ່ສຸດ. ໃຫ້ພະຍາຍາມຂຽນກົດລະບຽບທີ່ຈະຄົ້ນຫາໄຟລ໌ທີ່ຄ້າຍຄືກັນໃນ repository:

// Найдем все сертификаты по маске файла
CxList find_certs = All.FindByShortNames(new List<string> {"*.der", "*.cer", "*.pem", "*.key"}, false);

// Проверим, где в приложении они используются
CxList data_used_certs = All.DataInfluencedBy(find_certs);

// И для мобильных приложений - можем поискать методы, где вызывается чтение сертификатов
// Для других платформ и приложений могут быть различные методы
CxList methods = All.FindByMemberAccess("*.getAssets");

// Пересечение множеств даст нам результат по использованию локальных сертификатов в приложении
result = methods * data_used_certs;

ໜ້າ ວຽກ: ຊອກຫາ tokens ທີ່ຖືກທໍາລາຍໃນແອັບພລິເຄຊັນ

ການແກ້ໄຂ: ມັນມັກຈະມີຄວາມຈໍາເປັນທີ່ຈະຖອນ tokens ທີ່ຖືກທໍາລາຍຫຼືຂໍ້ມູນທີ່ສໍາຄັນອື່ນໆທີ່ມີຢູ່ໃນລະຫັດ. ແນ່ນອນ, ການເກັບຮັກສາພວກມັນຢູ່ໃນລະຫັດແຫຼ່ງບໍ່ແມ່ນຄວາມຄິດທີ່ດີ, ແຕ່ສະຖານະການແຕກຕ່າງກັນ. ຂໍຂອບໃຈກັບການສອບຖາມ CxQL, ການຊອກຫາສິ່ງຕ່າງໆເຊັ່ນນີ້ແມ່ນຂ້ອນຂ້າງງ່າຍ:

// Получаем все строки, которые содержатся в коде
CxList strings = base.Find_Strings();

// Ищем среди всех строк нужное нам значение. В примере токен в виде строки "qwerty12345"
result = strings.FindByShortName("qwerty12345");

ສະຫລຸບ

ຂ້າພະເຈົ້າຫວັງວ່າບົດຄວາມນີ້ຈະເປັນປະໂຫຍດສໍາລັບຜູ້ທີ່ກໍາລັງເລີ່ມຮູ້ຈັກກັບເຄື່ອງມື Checkmarx. ບາງທີຜູ້ທີ່ຂຽນກົດລະບຽບຂອງຕົນເອງເປັນເວລາດົນນານກໍ່ຈະຊອກຫາສິ່ງທີ່ມີປະໂຫຍດໃນຄູ່ມືນີ້.

ແຕ່ຫນ້າເສຍດາຍ, ໃນປັດຈຸບັນມີການຂາດແຄນຊັບພະຍາກອນທີ່ແນວຄວາມຄິດໃຫມ່ສາມາດຖືກລວບລວມໃນລະຫວ່າງການພັດທະນາກົດລະບຽບສໍາລັບ Checkmarx. ນັ້ນແມ່ນເຫດຜົນທີ່ພວກເຮົາສ້າງ repository ໃນ Github, ບ່ອນທີ່ພວກເຮົາຈະປະກາດວຽກງານຂອງພວກເຮົາເພື່ອໃຫ້ທຸກຄົນທີ່ໃຊ້ CxQL ສາມາດຊອກຫາສິ່ງທີ່ມີປະໂຫຍດໃນມັນ, ແລະຍັງມີໂອກາດທີ່ຈະແບ່ງປັນວຽກງານຂອງພວກເຂົາກັບຊຸມຊົນ. ຄັງເກັບຂໍ້ມູນແມ່ນຢູ່ໃນຂັ້ນຕອນການຕື່ມຂໍ້ມູນແລະໂຄງສ້າງ, ດັ່ງນັ້ນຜູ້ປະກອບສ່ວນຍິນດີຕ້ອນຮັບ!

ຂອບໃຈສໍາລັບຄວາມສົນໃຈຂອງທ່ານ!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ວິທີການຂຽນກົດລະບຽບສໍາລັບ Checkmarx ໂດຍບໍ່ມີການ Crazy