SAST 3.x系列 | 悬镜灵脉SAST 3.3版本兼备全面和速度,卷出新境界!

新闻
10天前


面向开发人员的传统SAST工具

常常会面临诸多窘境:

若以发现最大风险为目标,

则通常牺牲速度且存在大量误报;

若追求最小噪音和便捷体验,

则可能牺牲安全性。

是非此即彼,两害相权取其轻,

还是......?

灵脉SAST 3.3版本给出了新的解题思路

 

ROUND1:速度 or 全面?

image.png 

 

灵脉SAST 3.3表示:

小孩子才做选择,成年人全都要!

 

FULL /全面

 

API分析?信创?合规?苹果生态系统?

灵脉SAST 3.3版本统统拿下!

 

01.API安全场景

灵脉SAST 3.3版本新增代码级API安全检测能力,用户在检测源代码质量缺陷和安全缺陷的同时即可获取API风险分析结果。

 

基于用户上传的源代码,灵脉SAST可以分析API的端点路径、方法和参数等信息,并将检测结果与API进行关联;支持对API中的参数进行分析,可醒目标注敏感参数。

 

 

image.png


 

02.信创及高可用场景

灵脉SAST 3.3版本新增支持ARM CPU架构、国产数据库OceanBase适配,同时支持容器化及k8s部署,适配条件更丰富,满足信创需求。

 

image.png 

03.合规场景

灵脉SAST 3.3版本在覆盖检测规则共7000+的基础上,Java检测规则增加140+,C/C++检测规则增加120+,包括GJB 8114-2013、MISRA C 2012 等,整体覆盖率行业领先,深度适配军工、汽车等不同行业用户的合规场景需求。

 

04.苹果生态操作系统场景

灵脉SAST 3.3版本进一步优化支持了Swift语言检测功能,满足iOS、macOS应用研发场景下的代码安全检测和缺陷检测需求。


image.png


FAST / 速度

 

01.新增Java制品快速检测

在已有源代码快速检测的基础上,灵脉SAST 3.3版本针对Java制品检测新增“快速扫描”模式,通过轻量检测引擎,实现快捷的字节码检测流程,满足日常缺陷检测的需求。

image.png



02.敏捷集成三大扩展

灵脉SAST 3.3版本扩展集成多个集成管理平台、IDE插件、CI/CD插件,无缝融入开发团队的工作流程中,开发人员无需离开原有的CI/CD体系即可在整个SDLC过程中实现自动化安全测试,从而加快发现和修复缺陷的速度。

 

a.新增通用Git配置,可基于多种 Git 托管平台,配置通用且灵活。


image.png



b.新增Eclipse和Visual Studio Code 插件,丰富开发环境的应用场景,减少切换工具的成本和时间。

image.png


c.升级Jenkins插件,支持C/C++的编译检测;

d.优化蓝鲸插件,更新“超危”缺陷的配置及检测统计;

e.新增Gitlab-CI脚本,丰富持续集成的应用场景,提升团队的开发效率和整体代码质量。


image.png

ROUND2:检出率 or 误报率?


image.png


灵脉SAST 3.3表示:

我选择精准检出!

 

灵脉SAST 3.3全新版本引擎运用构建捕获技术、指向分析、Lambda表达式等技术,综合提升检测精度,不影响检出率的同时大大减少误报。

01.构建捕获

抽象语法树(Abstract Syntax Tree,AST)是检出源代码缺陷的重要前提,但是部分代码可能存在无法生成AST的场景。基于此,灵脉SAST针对C/C++语言任务,新增基于构建捕获技术的检测流程:通过构建捕获工具,可以对源代码生成一个中间结果,并对构建捕获中间结果进行检测,以进一步提升检测的准确性。

image.png

02.指向分析

指向分析能力可以在分析时推断变量真实引用的对象,这将解决大部分SAST工具在分析程序多态、对象字段跟踪不准确的问题,从而提高检测精度、优化程序和检测潜在的错误。

 

image.png



如代码所示,静态分析引擎基于变量定义构建函数调用图,则输出结果为English:基于类继承分析(CHA),输出结果为English 或 French 或Chinese;基于变量分析(VTA)配合指向分析,输出结果为 French,可见指向分析能够帮助识别变量的准确类型,减少误报。

 

03.Lambda表达式支持

Lambda表达式是Java 8引入的函数式编程特性之一,结合流式编程具有很大的灵活性。灵脉SAST3.3版本可以识别和分析Lambda表达式的语法特性,并将其正确地解析为相应的抽象语法树结构,并能够追踪Lambda表达式内的值流关系,使得污点跟踪分析更为全面和准确。


image.png


如代码所示,如果没有Lambda表达式支持则只能检测出16行的缺陷。支持Lambda表达式后,可以检测出20行和24行的缺陷。

 


ROUND3:降低风险 or 易用性?

 


除了运用构建捕获、指向分析等上述技术提升引擎检出率和精准度外,灵脉SAST 3.3版本同样优化了用户交互体验,兼顾安全性和易用性。

01. 新增数据备份功能

提供数据备份机制。若系统出现故障或数据丢失等意外情况,可以帮助快速恢复数据。保障检测业务的持续性和稳定运行,减少潜在损失。

02. 新建任务

本地上传新增.tar、.gz格式文件上传,为打包文件提供便利。

03. 新增JSON、XML报告格式

查看报告方式更灵活。

04. 详细报告中新增缺陷标识

优化缺陷跟踪路径展示,便于快速锁定并跟进缺陷。

05. 新增在线下载错误日志操作

针对“检测失败”任务,新增在线下载错误日志操作,提高研发人员排查问题效率。

06. 新增按部门、项目维度统计

概览新增按部门、项目维度统计,为检测数据分析和决策提供更加全面、准确的信息。

 

灵脉SAST作为基于AI多模智能引擎的新一代静态代码安全扫描产品,灵脉SAST深耕技术创新赋能,从源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。

 

融合SCA双倍AI驱动引擎,在检测源代码质量缺陷和安全缺陷的同时,一键完成数字供应链安全审查。

与源鉴SCA深度联动实现漏洞可达性分析,漏洞检测误报率低至15%,漏报率低至13%。

覆盖30+主流开发语言、7000+检测规则,检测速度高达百万行/小时。

 

申请免费试用

灵脉SAST 3.3版本


image.png


悬镜灵脉SAST是落地实践应用安全左移的基石之一,是敏捷安全工具链中前置到安全编码阶段的重要赋能环节。悬镜敏捷安全工具链作为第三代DevSecOps数字供应链安全体系中的重要能力支撑,将不断提供更智能、更可信的创新供应链安全产品服务,持续守护中国数字供应链安全。