Kā izmantot vienkāršu utilītu, lai atrastu ievainojamības programmas kodā

Graudit atbalsta vairākas programmēšanas valodas un ļauj integrēt koda bāzes drošības testēšanu tieši izstrādes procesā.

Avots: Unsplash (Markuss Spiske)

Testēšana ir svarīga programmatūras izstrādes dzīves cikla sastāvdaļa. Ir daudz testēšanas veidu, katrs no tiem atrisina savu problēmu. Šodien es vēlos runāt par drošības problēmu atrašanu kodā.

Acīmredzot mūsdienu programmatūras izstrādes realitātē ir svarīgi nodrošināt procesu drošību. Savulaik pat tika ieviests īpašs termins DevSecOps. Šis termins attiecas uz virkni procedūru, kuru mērķis ir identificēt un novērst lietojumprogrammas ievainojamības. Ir specializēti atvērtā pirmkoda risinājumi ievainojamību pārbaudei saskaņā ar standartiem OWASP, kas apraksta dažādus avota koda ievainojamību veidus un uzvedību.

Ir dažādas pieejas drošības problēmu risināšanai, piemēram, statiskā lietojumprogrammu drošības pārbaude (SAST), dinamiskā lietojumprogrammu drošības pārbaude (DAST), interaktīvā lietojumprogrammu drošības pārbaude (IAST), programmatūras kompozīcijas analīze un tā tālāk.

Statiskā lietojumprogrammu drošības pārbaude identificē kļūdas jau uzrakstītajā kodā. Šī pieeja neprasa lietojumprogrammas palaišanu, tāpēc to sauc par statisko analīzi.

Es pievērsīšos statiskā koda analīzei un izmantošu vienkāršu atvērtā pirmkoda rīku, lai visu demonstrētu praksē.

Kāpēc es izvēlējos atvērtā pirmkoda rīku statiskā koda drošības analīzei

Tam ir vairāki iemesli: pirmkārt, tas ir bezmaksas, jo jūs izmantojat rīku, ko izstrādājusi līdzīgi domājošu cilvēku kopiena, kas vēlas palīdzēt citiem izstrādātājiem. Ja jums ir maza komanda vai jaunuzņēmums, jums ir lieliska iespēja ietaupīt naudu, izmantojot atvērtā pirmkoda programmatūru, lai pārbaudītu savas kodu bāzes drošību. Otrkārt, tas novērš nepieciešamību nolīgt atsevišķu DevSecOps komandu, tādējādi vēl vairāk samazinot izmaksas.

Labi atvērtā pirmkoda rīki vienmēr tiek radīti, ņemot vērā paaugstinātas elastības prasības. Tāpēc tos var izmantot gandrīz jebkurā vidē, aptverot plašu uzdevumu klāstu. Izstrādātājiem ir daudz vieglāk savienot šādus rīkus ar sistēmu, ko viņi jau ir izveidojuši, strādājot pie saviem projektiem.

Taču var būt gadījumi, kad jums ir nepieciešama funkcija, kas nav pieejama jūsu izvēlētajā rīkā. Šajā gadījumā jums ir iespēja izveidot tā kodu un, pamatojoties uz to, izstrādāt savu rīku ar jums nepieciešamo funkcionalitāti.

Tā kā vairumā gadījumu atvērtā pirmkoda programmatūras izstrādi aktīvi ietekmē sabiedrība, lēmums par izmaiņām tiek pieņemts diezgan ātri un precīzi: atvērtā pirmkoda projekta izstrādātāji paļaujas uz lietotāju atsauksmēm un ieteikumiem, viņu ziņojumiem par atrastās kļūdas un citas problēmas.

Graudit izmantošana koda drošības analīzei

Statiskā koda analīzei varat izmantot dažādus atvērtā pirmkoda rīkus; nav universāla rīka visām programmēšanas valodām. Dažu no tiem izstrādātāji ievēro OWASP ieteikumus un cenšas aptvert pēc iespējas vairāk valodu.

Šeit mēs izmantosim Graudit, vienkārša komandrindas utilīta, kas ļaus mums atrast mūsu kodu bāzes ievainojamības. Tas atbalsta dažādas valodas, taču to komplekts joprojām ir ierobežots. Graudit ir izstrādāts, pamatojoties uz grep utilītu, kas savulaik tika izlaista saskaņā ar GNU licenci.

Ir līdzīgi rīki statiskā koda analīzei - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), kļūdu meklētājs un tā tālāk. Bet Graudit ir ļoti elastīgs un tam ir minimālas tehniskās prasības. Tomēr jums var rasties problēmas, kuras Graudit nevar atrisināt. Tad jūs varat meklēt citas iespējas šeit šajā sarakstā.

Mēs varam integrēt šo rīku konkrētā projektā vai padarīt to pieejamu izvēlētam lietotājam, vai arī izmantot to vienlaikus visos savos projektos. Šeit arī izpaužas Graudit elastība. Tātad vispirms klonēsim repo:

$ git clone https://github.com/wireghoul/graudit

Tagad izveidosim simbolisku saiti, lai Graudit to izmantotu komandu formātā

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Pievienosim aizstājvārdu .bashrc (vai jebkuram izmantotajam konfigurācijas failam):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Atsāknēšana:

$ source ~/.bashrc # OR
$ exex $SHELL

Pārbaudīsim, vai instalēšana bija veiksmīga:

$ graudit -h

Ja redzi ko līdzīgu, tad viss ir kārtībā.

Es testēšu vienu no saviem esošajiem projektiem. Pirms rīka palaišanas tam ir jānodod datu bāze, kas atbilst valodai, kurā ir rakstīts mans projekts. Datu bāzes atrodas mapē ~/gradit/signatures:

$ graudit -d ~/gradit/signatures/js.db

Tātad, es pārbaudīju divus js failus no sava projekta, un Graudit konsolei parādīja informāciju par ievainojamībām manā kodā:

Jūs varat mēģināt pārbaudīt savus projektus tādā pašā veidā. Jūs varat redzēt dažādu programmēšanas valodu datu bāzu sarakstu šeit.

Graudit priekšrocības un trūkumi

Graudit atbalsta daudzas programmēšanas valodas. Tāpēc tas ir piemērots plašam lietotāju lokam. Tas var pienācīgi konkurēt ar visiem bezmaksas vai maksas analogiem. Un ir ļoti svarīgi, ka projektā joprojām tiek veikti uzlabojumi, un kopiena palīdz ne tikai izstrādātājiem, bet arī citiem lietotājiem, kuri cenšas izdomāt rīku.

Tas ir ērts rīks, taču līdz šim tas ne vienmēr var precīzi noteikt, kāda ir problēma ar aizdomīgu koda daļu. Izstrādātāji turpina uzlabot Graudit.

Bet jebkurā gadījumā, izmantojot šādus rīkus, ir lietderīgi pievērst uzmanību iespējamām drošības problēmām kodā.

Sākums…

Šajā rakstā es apskatīju tikai vienu no daudzajiem veidiem, kā atrast ievainojamības – statisko lietojumprogrammu drošības testēšanu. Statiskā koda analīzes veikšana ir vienkārša, taču tas ir tikai sākums. Lai uzzinātu vairāk par savas kodu bāzes drošību, programmatūras izstrādes dzīves ciklā ir jāintegrē cita veida testēšana.

Par reklāmas tiesībām

Uzticams VPS un pareiza tarifu plāna izvēle ļaus jums mazāk novērst nepatīkamas problēmas no attīstības - viss darbosies bez kļūmēm un ar ļoti augstu darbības laiku!

Avots: www.habr.com