2010 年,大型社交网站 rockyou.com 被曝存在 SQL 注入漏洞,黑客利用此漏洞获取到 3200 万用户记录; 2015 年,英国电话和宽带供应商 TalkTalk 被一名 15 岁的黑客利用 SQL 注入漏洞进行攻击,泄露近 400 万客户资料; 2018 年,万豪泄漏 3.39 亿客人个人信息,被处以 1840 万英镑(约合人民币 1.6 亿元)罚款。
根据 WhiteHat Security 的一项研究表明,各个行业所使用的应用程序中,至少有 50 % 包含一个或多个严重的可利用漏洞,这些层出不穷的安全漏洞将会对企业的生产运营构成重大威胁。但传统的静态应用程序安全性测试( SAST )往往需要较长的扫描分析时间,稍大的项目经常需要花费好几小时来进行扫描,实时性较差,在版本迭代快速的 Web 应用开发中严重拖慢整条流水线;同时误报率也较高,同一个漏洞多次报警的情况更是常有发生,开发团队需要耗费大量资源来确认并去除这些误报,导致团队无法敏捷地融入到 DevSecOps 中。
DevSecOps 是 Gartner 在 2012 年就提出的概念。它的目标是将安全嵌入到 DevOps 的各个流程中去(需求,架构,开发,测试等),从而实现安全的左移,让所有人为安全负责,将安全性从被动转变为主动,最终让团队可以更快速地开发出更安全的产品。
面对潜在的产品安全隐患与实现 DevSecOps 的层层挑战,如何推动“安全左移”、如何通过在 DevOps 的基础上平稳建设 DevSecOps 以保障开发安全,已成为企业研发团队需要重点关注的课题。
CODING 代码扫描自开放试用以来,已累计为 5000+ 团队提供扫描服务,通过分析代码仓库中的源代码,帮助开发团队及时发现其中潜藏的代码缺陷、安全漏洞以及不规范代码;并且自动生成问题列表,附带修改建议,便于团队成员快速修复问题,提升代码稳定性;还通过对代码进行度量,统计出结构异常复杂的方法及重复代码供开发人员调整,进而提升代码可维护性。
而在助力企业建设 DevSecOps 的道路上,CODING 代码扫描也在不断深耕,本次更新在原有代码可靠性、代码规范扫描能力的基础上,针对代码安全进行了全面强化,集成腾讯 CSIG 自研静态应用安全测试工具 - Xcheck,开放腾讯内部强大的研发能力,帮助研发团队精准检测业务代码,及时发现并规避安全风险。
Xcheck 基于成熟的污点分析技术,以及对抽象语法树的精准剖解,通过巧妙优雅的方式实现污点的传递和跟踪。经测试,在 4 核 16G 的 Linux 云主机上,Xcheck 对项目的检查速度在 1w+ 行 /s,部分项目可以达到 2w+ 行 /s,同时经过对 Xcheck 投喂大量项目进行误报优化,目前 Xcheck 各语言的误报率已低于 10%,作为一个轻量化插件,Xcheck 在减少对使用者的打扰下,能够更快速准确地发现潜藏在代码中的安全风险,全方位帮助研发团队安全生产代码,保障代码安全。
现在基于 CODING 代码扫描,您就可以享受到 Xcheck 身经百战的代码安全分析能力。前往 CODING,在「代码扫描 - 扫描方案」 中一键启用 Xcheck 规则包即可开始进行代码安全检测,无需额外设置,操作简单便捷,目前已支持 Java 语言,Python 、PHP 、Go 、JS 等语言将在 4 月陆续支持。
借助 CODING 代码扫描及 Xcheck 的强大能力,开发人员能够提前发现并迅速采取行动解决安全漏洞,将安全风险左移至开发阶段解决,大幅减少返修成本,缩短交付周期,帮助团队更高效地开发出安全系数更高的产品,同时也避免了企业遭受因应用安全事件导致的声誉及资产损失,为企业数字化资产保驾护航。
目前 CODING 代码扫描功能试用持续开放中,点击阅读原文即可立即体验。关注 CODING 公众号,后续将会分享更多代码安全漏洞实战案例,助力您的团队更好地实践 DevSecOps,敬请期待!
推荐阅读:
1 、CODING 帮助文档 - 代码扫描功能介绍: https://help.coding.net/docs/host/code-scan/introduce.html
2 、CODING 帮助文档 - Xcheck 工具: https://help.coding.net/docs/host/code-scan/xcheck.html
3 、了解 Xcheck 更多信息及代码安全审计相关技术,关注 Xcheck 公众号:
腾讯代码安全检查 Xcheck