一图看懂软件缺陷检查涉及的内容

Uncle_Tom 发表于 2021/12/03 23:36:24 2021/12/03
【摘要】 一图看懂软件缺陷检查涉及的内容

1. 引言

常常被老婆说:“每天弄到三更半夜,不知道你在搞什么!”。

亦或总是被朋友说:“都不知道你在说什么,尽发些看不懂的博客!”。

亦或总是被老大说:“你一句话说不清楚,就不要说了!”。

每每这个时刻,头脑中总是闪过无数的内容,千头万序,不知该从何说起。。。。。。

终于在再次被批的时候,头脑中电光一闪,是不是可以这样。。。

在回家的地铁上构思了几天。终于在晚上给小的讲完故事后,弄了个初稿出来,这下是不是能看懂些了?

2. 软件开发中缺陷的引入

2.1. 软件开发

软件是一系列按照特定顺序组织的计算机数据和指令的集合,用于完成设定的功能。软件已经融入到我们生活的方方面面,例如我们熟悉的计算数据、购物、交友、导航、游戏、点菜、支付等等。这些软件是经过软件设计人员的设计之后,由程序员通过某种程序语言完成编写。

2.2. 漏洞的形成

是人总会犯错误。这里有客观的原因,也有主观的原因。客观的原因是设计和开发人员对软件的安全缺乏认识,在设计和开发过程中,不知觉地引入了安全问题。目前来看设计引入的安全问题占了已知软件缺陷问题的一半以上;另一部分是开发过程中,由程序员引入的。所以软件的安全需要从设计阶段开始防范,加强设计和开发人员的软件安全培训;同时在软件编写阶段,通过静态检查工具检测可能发生的潜在安全问题,这也是目前流行的说法“安全左移”,而不能等到测试阶段再来完成安全检查。还有一小部分,则是由于缺少职业道德的程序员或别有用心的人员,在编写过程中直接写入的,我们通常称为“后门”。这些后门,在特定情况下会被启用,用于破环、监听、勒索等不正当的目的。对于这类软件缺陷问题,主要通过加强对程序员职业操守的培训来避免。

2.3. 缺陷漏洞的发现

这些无意的和有意的软件缺陷,在使用过程中,被人们无意或有意的发现了,成为已知漏洞。程序中还存在很多未知的漏洞。黑客往往采用嗅探(近似遍历)的方法,寻找这些已知漏洞,然后利用这些找到的漏洞,一步步的入侵你的计算机系统,得到控制权。

3. 漏洞库

为了降低漏洞造成的危害,国家层面会成立一个漏洞管理组织,用于漏洞信息的统一发布,例如我国的CNNVD,美国NVD,就是这样的组织。

3.1. 缺陷(CVE)

每一个被报告的缺陷称为一个"通用漏洞披露"(Common Vulnerabilities and Exposures (CVE)), 并按年份进行了编号。 例如,我们熟悉的心脏滴血(Heartbleed)漏洞的CVE编号是CVE-2014-0160。它可以利用网络传输协议漏洞窃取你的账号、密码等加密信息。

3.2. 缺陷分类(CWE)

为了便于缺陷的管理,于是有了"通用缺陷枚举"(Common Weakness Enumeration(CWE))对缺陷进行分类和甄别,每种分类或缺陷被赋予了一个CWE编号,便于人们交流时明确具体的问题,避免由于对缺陷描述的差异而造成歧义。更多的介绍可以看:

3.3. 缺陷危害评估

每个缺陷造成的危害是不一样,为了评估缺陷的危害程度,有了"通用漏洞评分系统"(Common Vulnerability Scoring System(CVSS)), 得分基于一系列维度上的测量结果进行度量打分。漏洞的最终得分最大为10,最小为0。

  • 严重漏洞:得分7~10的漏洞;
  • 中级漏洞:得分在4~6.9之间;
  • 低级漏洞:得分在0~3.9之间。

4. 高危漏洞

我们平时在软件开发的过程中,需要注意哪些高危的安全问题?或者检查工具应该重点防范那些安全问题?

4.1. 最危险的25种缺陷(CWE TOP 25)

CWE的组织每年会将过去一年缺陷库(NVD)中的漏洞, 按照发生数量和危害程度进行评分,得到最需要防范的25种软件缺陷,放到CWE的版本中进行发步。可以参看《CWE发布2021年最危险的25种软件缺陷》

4.2. web应用最危险的10种缺陷(OWASP TOP 10)

开放的社区"Web应用程序安全性项目(Open Web Application Security Project (OWASP))", 每3-4年也会统计Web应用中,公布危害最大的10种软件缺陷。这个信息也会被CWE收录到CWE的新版本中。可以参看《CWE 4.6 和 OWASP TOP10(2021)》

5. 各种安全规范

软件的漏洞危害会给组织带来经济或声誉上极大的伤害。所以在软件的开发过程中,通常采用编码规范的方式,来提醒和约束程序员的开发过程,以确保程序中减少安全风险。

这些规范按照来源和用途大致可以分为以下几种:

5.1. 通用编程规范

卡内基梅隆大学(Carnegie Mellon University)的软件工程院(Software Engineering Institute(SEI))的CERT部门是网络安全领域的领导者,也是政府、行业、执法和学术界的合作伙伴。CERT部门的目标是提高计算机系统和网络的安全性和弹性。 CERT专家开发了先进的方法和技术来应对大规模复杂的网络威胁,并与M国土安全局紧密合作,设定了数据收集和挖掘、统计和趋势分析、计算机和网络安全、事件管理、内部威胁和软件保证等领域的研究目标。他们先后发布了C、C++、Java的编码规范,这些规范几乎成了业界编码规范的主要参考依据或重要组成部分。

5.2. 行业规范

软件应用的各个行业依据行业特点,也先后发布了各自的行业编码规范。

5.3. 国际标准化组织

5.4. 国家标准或出版物

各个国家也都为安全编码推行了不少的编码标准或是出版物。

5.4.1. 国标

5.4.2. 美国国家标准技术研究院(NIST)

美国国家标准技术研究院发布的标准系列文件中,计算机相关的标准主要放在SP500和SP800(SP是Special Publications的缩写)。虽然NIST SP并不作为正式法定标准,但在实际工作中,已经得到美国和国际安全界广泛认可,并成为重要的标准。

5.4.3. 软件缺陷检查工具

上面这些各种安全规范,是不可能通过人工对代码一个个的去检查和审核的,这需要静态分析工具能够适配这些编码规范,自动化的完成这些规范的检查,尽可能的在软件发布之前,完成这些缺陷的检测和修复,以降低软件潜在的安全风险。所以静态检查工具在软件安全中扮演着非常重要的守护作用。

对于业界静态分析工具的主要领导者,可以参见《Gartner 魔力四象限 – 应用安全检测》

6. 总结

  • 这个图更多的是从如何减少软件缺陷出发,展示了业界发布的各种编码规范中的一部分,这些规范都是静态检查工具在检查的过程中需要完成覆盖的;
  • 这个图还缺少很多部分:
    • 静态检查工具对隐私保护的遵从;
    • 软件安全防护或攻击的各种框架,例如ATT&CK攻击框架;
    • 静态检查工具能力的评估
  • 软件安全检查极具挑战性,目前的主要理论和技术研究都是欧美完成的。希望有更多的软件开发人员能够投入到这个领域,为国产的静态软件分析做出贡献。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。