下一代SAST

摘要:悬镜灵脉SAST 3.6版本AI模型强化了针对命令注入、文件操作漏洞、SQL注入、XPath注入、XSS跨站脚本、不安全随机值、弱加密算法、弱哈希算法、Cookie安全性问题以及信任边界破坏等缺陷类型的分析能力;同时在评估缺陷等级时,会进行跨文件、跨函数的方式

悬镜灵脉SAST 3.6版本AI模型强化了针对命令注入、文件操作漏洞、SQL注入、XPath注入、XSS跨站脚本、不安全随机值、弱加密算法、弱哈希算法、Cookie安全性问题以及信任边界破坏等缺陷类型的分析能力;同时在评估缺陷等级时,会进行跨文件、跨函数的方式综合上下文信息,提供更加精准的等级判定。

· 深度扫描:在更高安全性要求的场景下,使用高精度的全程序分析,追踪复杂调用链,能够检测隐蔽性强、依赖全局上下文的漏洞。

复杂项目中一个源点(source)可能关联多个路径,这些路径最终指向相同的风险点(sink),导致检测报告中出现大量重复的结果,影响用户理解和分析的效率。

悬镜SAST通过全局分析,追踪数据来源(source)与数据终点(sink)之间的关系,对不同分支条件下数据流中多个路径进行去重和归一化处理,且支持用户友好的多路径切换展示,避免因路径重复造成的误报感知和疲劳分析。

Go语言支持跨平台编译和构建,代码中可能包含多个操作系统(OS)、架构(Architecture)和构建标签(Build Tags)的条件编译逻辑,使静态分析面临额外的解析复杂度。

悬镜灵脉SAST支持明确配置这些选项,可选定目标操作系统、架构、构建标签和配置代理,使引擎能够聚焦于目标环境代码,避免因条件编译引发的误报,提高检测的完整性和准确性。

悬镜灵脉SAST通过分析代码的内部结构、语法和逻辑特征深度检测隐藏的后门问题,并定位至具体代码文件及对应的代码行号,展示从入口函数(如completed)到具体问题代码(如statement.executeQuery(query))的调用流,使用户能够快速理解问题的来源和传播途径,并提供详细的修复建议,在代码提交阶段即时发现并修复后门问题。

· 智能分析:相比传统模式匹配或单文件静态分析,灵脉SAST通过跨文件数据流分析、全局调用关系图构建和AI智能辅助,显著增强检测后门的深度和广度。

· 检测全面:支持主流编程语言(Java、Python、C++、Go等)和常用框架的后门检测,覆盖常见业务场景,包括命令执行后门、代码注入后门、SQL注入后门、表达式注入后门、反序列化后门、反射调用后门、硬编码后门凭证等。

灵脉SAST持续扩展检测规则,目前知识库已支持9000+检测规则,其中:

1)Java:新增40+规则,包括Android、CWE等标准集;

2)C/C++:新增10+规则,包括通用规则集、AUTOSAR C++14等标准集;

3)Go:新增10+规则,包括通用规则集、CWE、OWASP 2021 TOP10、OWASP 2017 TOP10等标准集。

随着企业软件安全需求的全球化,特别是海外研发中心或外包开发团队的增加,静态应用安全测试(SAST)工具需要支持多语言环境,以适应全球化团队的沟通与协作。

悬镜灵脉SAST 3.6版本支持知识库规则英文查阅、平台中英文页面、英文生成报告内容等,可满足国内外资企业、跨国公司以及海外企业需求。

1.快速检测/项目管理:

2.规则管理

(1)自定义白名单:优化C/C++、Objective-C语言的方法白名单配置,支持 C++/Objective-C的命名空间配置。

(2)文件路径过滤:优化文件路径过滤规则配置方式。只需输入关键字即可进行过滤,操作更便捷。

(3)自定义规则:支持用户自定义规则以检测代码中的潜在问题由此检测出更多缺陷。新建自定义规则时,需要按照语法要求进行配置。

3.系统管理-优化数据备份和数据清理机制,避免长时间后影响磁盘占用情况的发生。

申请免费试用灵脉SAST 3.6版本:

悬镜灵脉SAST是落地实践应用安全左移的基石之一,是敏捷安全工具链中前置到安全编码阶段的重要赋能环节。悬镜敏捷安全工具链作为第三代DevSecOps数字供应链安全体系中的重要能力支撑,将不断提供更智能、更可信的创新供应链安全产品服务,持续守护中国数字供应链安全。

来源:小祥说汽车

相关推荐