《腾讯 开发安全产品介绍.pdf》由会员分享,可在线阅读,更多相关《腾讯 开发安全产品介绍.pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、腾讯开发安全产品介绍Xcheck静态应用检测系统+BSCA二进制软件成分分析腾讯开发安全高级产品经理主讲人:刘天勇目录content 应用开发安全背景分析 Xcheck静态应用检测系统介绍 BSCA二进制软件成分分析系统介绍现代应用安全的风险来源分析1、自研代码一定有未被发现的缺陷“缺陷是天生的,漏洞是必然的”。统计数据表明,程序员每写1000行代码,就会出现1个逻辑性缺陷。2、现代应用都是组装的而非纯自研78%-90%的现代应用融入了开源组件,平均每个应用包含147个开源组件,开源组件的引入会带来潜在的软件供应链安全风险开源软件许可证违规Web通用漏洞SQL注入、命令执行、XXE、XSS等O
2、WASP TOP10合规需求、安全配置未能满足安全合规、未建立安全基线、敏感数据泄漏自研代码开源组件应用组成成分开源组件安全漏洞CNNVD、CNVD、CVE等第三方库漏洞发现GPL等强传染性开源许可证协议,商业化使用、分发需要对外开放全部源码腾讯开发安全新品发布,全面覆盖源代码和开源组件风险merge编译分支源代码源代码发布部署持续交付测试集成化制品主机产品非主机产品软件资产管理安全测试各类二进制数据软件包软件制品包源代码二进制构建物开发测试过程开发测试产物静态应用安全检测是直接对源代码进行检查的白盒检测技术。可直接对接代码仓库,自动化分析静态源代码中安全风险安全测试工具二进制软件成分分析是对
3、编译产物二进制文件进行检查的黑盒检测技术。通过识别相关开源组件,自动化分析漏洞、许可等软件供应链安全风险腾讯Xcheck静态应用安全检测系统腾讯BSCA二进制软件成分分析工具设计开发测试发布X6.5X15X60100在软件应用生命周期中,修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长。传统的漏洞检测方法通常只能在业务系统开发完成后才能介入,这导致漏洞的修复成本高昂。甚至很多漏洞在安全事件发生后,才会被发现及修正。开发安全价值:实现安全左移,安全接入越早,漏洞修复成本越低腾讯Xcheck静态应用检测系统腾讯Xcheck产品定位:为DevOps场景而生的新一代SAST工具瀑布式开发敏捷开发De
4、vOps开发安全团队独立使用的审计平台开发模式演进产品定位变化开发团队使用,安全团队维护的CI插件工具现有产品难以匹配腾讯自研自用,DevOps场景全面替换市面上白盒产品对开发不友好,存在速度慢误报高的通病速度慢:扫描速度在几十分钟到数小时,无法适应快速迭代的DevOps开发模式,严重影响流水线自动化效率误报高:检测报告动辄上百个风险,误报过高,需消耗大量精力去处理,无法作为自动化质量门禁红线腾讯Xcheck产品架构:双引擎架构,满足不同场景需求污点追踪引擎规则匹配引擎支持语言种类覆盖风险类型产品定位依托强大的规则库,在技术原理和检测范围上能够对标业界主流白盒产品拥有灵活的拓展能力,便于用户自
5、定义运营规则主要覆盖5种Web后台语言:JAVA/GO/PHP/JavaScript/Python业界独家的创新检测引擎,Xcheck核心竞争力,专注挖掘高危漏洞速度快,误报低,非常适合在DevOps流水线场景集成使用20余种场景的开发语言,覆盖绝大多数应用符合污点传播模型的安全风险,如:SQL注入、命令注入、Xpat注入、路径穿越、命令注入、XSS,XXE、反序列化、SSRF等除污点传播类漏洞外,还可支持错误配置类、硬编码类、敏感信息泄露类等多种安全风险类型腾讯Xcheck:技术创新及核心优势2产品核心优势1全新检测原理:语义解析+污点追踪语义解析:Xcheck拥有一套自研的代码分析模糊解析
6、器,无需依赖编译,可以将代码快速转换成抽象语法树,相比同类产品,解析的速度实现了大幅度的提升污点追踪:Xcheck会在抽象语法树的基础上,设计精细化的模型,进行模拟执行和污点分析,准确的找到污点的传播路径。核心检测算法经过了腾讯内部每年数百万次任务的打磨,检出率和误报率能保证在较高的水平核心优势核心技术效果扫描速度快纯自研语义分析算法无需编译,精确识别各种语言特性扫描速度每秒2千行以上,是同类产品的几十倍检测误报低海量任务打磨的精细化的模型设计精确识别风险类型污点不会被放大或消失。低误报低漏报,整体误报率低于10%,可直接用作流水线质量门禁资源占用小容器化部署,服务端的各个组件均支持水平伸缩单
7、机版本:最小配置8C16G,默认支持4个并发任务;每新增一个并发新增8G内存集群版本:Pod最小配置4C8G,每个Pod4个并发,资源足够可以一直扩容。与DevOps平台集成性好拥有成熟的API和命令行工具,能够输出完整检测结果实现被集成与coding/蓝鲸/Jenkins有专属插件,已实现深度集成耦合其他平台可通过API/CLI快速对接,并实现二次开发腾讯Xcheck产品:接入方式及应用场景1接入流水线:通过插件方式嵌入CI/CD,默认触发扫描Web/API开放API接口可集成到其他平台已深度支持集成的DevOps平台2接入代码仓库:针对代码仓库进行定时定期的全量扫描3本地扫描:人工上传代码
8、压缩包进行检测审计编码 阶段构建 阶段测试 阶段BSCA二进制软件成分分析BSCA二进制软件成分分析产品介绍BSCA是腾讯安全推出的一款以二进制软件成分分析为核心的检测平台,帮助用户检测软件制品,建立软件物料清单,发现软件制品风险,规避开源安全及合规性问题开源组件开源组件linuxkerne敏感数据字段第三方库漏洞发现License审计内核漏洞发现敏感信息检测软件成分分析平台软件物料清单开源组件知识库腾讯BSCA产品亮点:强大的分析能力,支持全格式、多维度的深度扫描有效应对各类软件检测需求,涵盖移动端,嵌入式,后台开发,云原生各种开发场景下的跨架构格式解析。在检测技术上,除二进制SCA分析能力
9、外,还融合更多分析能力,全面提升扫描精度文件类型文件格式固件镜像uimage、fit image、zimage、IMG0、TR磁盘镜像ext2、ext4、vfatfs、ubifs、squashfs安装包JAR、deb、dmg、exe、rpmDockerDocker应用文件APK文件系统cramfs、yaffs、jffs2、cpio、squashfs、ubi压缩文件lzma、xz、zip、bz、tar、arj、lzo其他二进制文件可通过打包上传,进行文件解析。其他未知格式启发式格式解析,可以采用遍历穷举方式识别出所有可识别的数据片段,进行部分解包还原。NVDCNVDCNNVDmitre.org
10、本土团队维护,结合国内外开源漏洞库进行信息校验和中文翻译opensslnodejsgitffmprg积累10w+第三方库,沉淀3000+产品信息腾讯开源组件知识库Lincense信息开源组件漏洞信息opensslk8sdockerlibpng依赖项关联自动化梳理为开发、测试、运维等环节提供全面的开源知识储备,提供快速准确的开源数据信息更新更新频率2小时准确性人工校验数据量国内最大漏洞基本信息漏洞风险评估CVSS 3.0CVSS 2.0漏洞漏洞第三方组件请输入漏洞ID搜索涵盖常见近2k种license自有license表达式,数据通过算法与人工修正腾讯BSCA产品亮点:腾讯安全独家维护的开源组件
11、知识库腾讯BSCA产品亮点:支持全局管理SBOM组件,同时提供安全预警功能软件供应链安全事件应急:“我受影响了吗?”“我在哪里受到影响?”软件构成组件2软甲构成图谱组件1软甲构成图谱组件3软甲构成图谱组件信息版本信息漏洞审计编译器配置信息License 信息敏感信息风险排查及预警资产管理Ops系统打通漏洞,License,敏感信息等风险排查通过SBOM与制品部署情况,快速定位到人/机器等细粒度能够支持运维人员做自定义排查,定位一些由组件引发的问题软件物料清单(Software Bill of Materials,SBOM)是一份正式且机器可读的软件组件和依赖关系(依赖树)清单,记录了这些组件的
12、信息以及它们的层次关系。它能降低成本、减少安全风险、许可风险和合规风险。SBOM用例包括软件开发改进、供应链管理、漏洞管理、资产管理、采购管理和可信流程。腾讯BSCA产品使用场景供应链场景自研场景BSCA同时支持SaaS和私有化两种形态,当前SaaS版开放免费限量试用,腾讯云官网可直接体验 https:/ 整体解决方案DevSecOps体系建设(绿色部分):以甲方主导的内部流程、机制、规范建设,腾讯安全可提供配套的资讯落地服务DevSecOps自动化工具建设(蓝色部分):腾讯安全可标准化化售卖的软件产品,可与DevOps平台集成,柔和的嵌入覆盖应用全生命周期。可以根据实际业务需要,分阶段分批次建设-IAST 灰盒安全测试-制品安全扫描开发安全意识培训安全编码规范-场景化威胁建模漏洞管理运营入侵响应与溯源安全应急响应中心(SRC)-威胁情报中心-DAST 黑盒自动化渗透测试-移动应用检测/加固生产前验证预测响应预防计划创建监控&分析监控&分析检测OpsDev-SAST 白盒代码扫描(Xcheck)-SCA 开源组件分析研发流程规范建设安全事件复盘安全开发知识库沉淀-RASP 运行时威胁自免疫-主机安全/容器安全-Web应用防火墙-DDoS攻击清洗与防护质量安全门禁建设