如何從靜態分析安全測試中挖掘「鑽石」價值？

靜態分析，或靜態應用安全測試（SAST），工具是在開發過程的最先階段發現代碼庫中的缺陷的有力方法。然而，用於執行該測試的工具是鈍器。

SAST工具提供了大量的數據，這些數據是直出工具的。我把它看做是SOOT。

這些發現須要進行審計或審查。並且常常須要一我的進行手動分流。即便他們是善意的，人類也沒法跟上，他們每每會被淹沒。

來自SAST的SOOT數據的問題

因爲它提供了大量的信息，工程師最終只是錯過了靜態分析工具發現的一些最重要的漏洞，由於這些缺陷隱藏在全部的噪音（或SOOT）中。

沒有任何額外的過程，開發人員獲得了一堆靜態分析結果，但他們不知道該把注意力集中在哪裏。發現的違規行爲數量如此之多，以致於感受忽略這些問題和修復這些問題同樣有用。

當篩選這種SOOT數據時，你會試圖找到有意義的信息——能夠處理和提煉的「鑽石」。但這隻佔你數據的10%左右。當你試圖減小噪聲量時，麻煩就來了，也就是所謂的假陽性率。爲了消除假讀數，你須要一個工具，你能夠很容易地針對你的特定環境進行調整和配置，同時下降對人類智能和監督的依賴。

誤報的發生有多種緣由。要了解更多有關誤報及其可能形成的混亂，請閱讀靜態代碼分析中的誤報。

掌握 SAST 行業工具

全部的SAST工具都是從你選擇正確的檢查器集和配置開始的，以便正確地與各類代碼庫（包括遺留代碼）一塊兒工做，同時爲缺陷分配違規嚴重性和分類。

正確的設置是基於安全準則、可能的法規，以及諸如你在現場遇到的問題或預期可能發生的問題。而後配置考慮你的框架、上下文、遺留代碼等，有助於產生更有用的結果。這些檢查器一般有一個基本的默認嚴重性，用於簡單化的優先級。

經過你的本地代碼、構建、編碼風格和框架的上下文，你能夠自定義系統中的規則和配置，以定義靜態分析工具將彙報的值和閾值。Parasoft 經過使用風險模型來完善你應該關注的領域。

使用風險模型

風險模型提供了一種客觀的方法來幫助肯定代碼缺陷的可利用性、弱點、廣泛性和可檢測性的影響。並且還能夠判斷它可能對應用產生什麼樣的影響。其結果是在更大的範圍內，確保優先處理那些容易發現和利用的漏洞。經過將嚴重性和風險模型結合起來，Parasoft工具能夠準確地肯定問題會有多嚴重，同時在開箱即提供建議的行動。

經過Parasoft靜態代碼分析工具，你能夠獲得一個解決方案，它能夠挖掘出堆積如山的靜態分析結果，爲你提供能夠採起行動的但願「鑽石」大小的珠寶。經過在相關風險的背景下考慮嚴重性的概念，Parasoft工具能夠應用來自行業標準安全模型（如CERT、CWE或OWASP）的數據，並將它們直接帶入報告和分析儀表板。

經過考慮多種風險模型，咱們可以將上下文注入到你的靜態分析結果中，讓你專一於大「鑽石」，而無需手動過濾掉全部煙塵，也無需擔憂你可能錯過的東西（假否認值）。

利用AI和ML識別最重要的違規行爲

經過利用人工智能(AI)和機器學習(ML)技術，Parasoft靜態分析工具能夠識別出全部發現的違規行爲之間的熱點和交叉點，這樣你就能夠將精力集中在代碼庫中做爲許多其餘問題的根本緣由的部分。更好的是，ML能夠監控並學習你本身的開發團隊的行爲，以區分哪些是重要的，哪些是不重要的。

根據開發團隊的歷史行爲來訓練你的AI模型，對發現的問題進行多維度分析，而ML則對數據進行聚類，以識別相關的、相關的或相似的違規行爲。將這兩種技術結合起來，你會獲得更好的東西。它能夠學習忽略哪些假陽性結果，突出哪些真陽性結果，從而將這堆積如山的信息縮減爲幾顆極具價值的「鑽石」。

例如，靜態分析能夠在一個典型的代碼庫中揭示成千上萬的違規行爲，雖然你可能可以識別出數百個缺陷來處理，但你沒法在你的時間內修復全部的缺陷。經過AI和ML查找違規熱點，你能夠經過識別致使全部缺陷的單段代碼同時修復多個缺陷。

讓SAST培訓變得輕鬆愉快

培訓人們使用靜態分析工具經常被看作是一個問題。須要對特定的編程語言有深入的理解，才能得到最大的收益。這就是爲何Parasoft靜態分析解決方案內置了集成的培訓、教育和認證計劃，以使你的開發人員快速上手，這樣他們就能夠最大限度地減小報告的誤報數量，並將精力集中在重要的工做上，即編寫代碼而不是篩選警告。

經過減小不相關結果的數量，該工具的採用率將提升。這只是一個培訓你的團隊的問題，他們將得到他們所需的信息，而無需作任何挖掘。若是你給開發人員三件明顯是高優先級和真實的事情來修復，你獲得的採納率會比給他們300個違規行爲而只有30個值得解決的缺陷要好得多。並且若是他們的手乾淨利落，他們會很樂意一次又一次地使用這個工具。而不是上面要求的煩人過程，而是一個值得信賴的顧問和工具。

結語

不管你的靜態分析有多少自動化，老是會有人工分流的元素。問題是，在你發現任何有價值的東西以前，你必須深刻多深。可是，經過包含風險元數據並配備AI和ML的工具，使發現和修復缺陷的效率大大提升，你能夠在軟件開發生命週期的開始階段快速處理違規行爲，以構建安全可靠的軟件。