Es hängt davon ab, was unter "sicherer Quellcode-Analyse" zu verstehen ist. Man kann alles machen, was einem gefällt. Ich nehme an, das Problem ist, wenn jemand anderes nach etwas gefragt hat, das als "sichere Quellcode-Analyse" bezeichnet wird, und man sich fragt, warum man nicht dafür qualifiziert ist.

In vielen Fällen muss eine solche Analyse von durchgeführt werden ein Fachexperte (KMU). Im Endprodukt wird ein KMU eine Erklärung abgeben, in der im Wesentlichen gesagt wird: "Ich erkläre diesen Code für sicher", wobei das Verständnis eine tiefgreifendere Aussage ist als "Ich habe nach einer Reihe bekannter Muster gesucht und keine Probleme festgestellt" / p>

Wenn Sie an der authentischen Übersetzung einer chinesischen Philosophie interessiert wären, würden Sie einer Person vertrauen, die viel über Philosophie wusste und eine Reihe von Spickzettel hatte, um sie zu entziffern, aber kein Chinesisch konnte ?

Ein gutes Beispiel ist ein Fehler, der eine SQL-Engine getroffen hat. Verzeihen Sie mir, dass ich nicht den Namen des Motors oder der Version habe, damit Sie überprüfen können. Seitdem habe ich Probleme, ihn zu finden. Der Fehler war jedoch ergreifend. Der Fehler trat in Code auf, der folgendermaßen aussah:

  int storeDataInCircularBuffer (Puffer * dest, const char * src, Größe_t Länge) {if (dest->putPtr + Länge < dest->putPtr) return ERROR ;; // Pufferüberlauf durch Überlauf verhindern if (dest->putPtr + Länge > dest->endPtr) {... // Daten in zwei Teile schreiben return OK; } else {... // schreibe die Daten in einen Teil return OK; }}  

Dieser Code sollte Teil eines Ringpuffers sein. In einem kreisförmigen Puffer wickeln Sie sich um, wenn Sie das Ende des Puffers erreichen. Manchmal werden Sie gezwungen, die eingehende Nachricht in zwei Teile zu teilen, was in Ordnung ist. In diesem SQL-Programm befassten sie sich jedoch mit dem Fall, dass die -Länge groß genug sein könnte, um einen Überlauf von dest->putPtr + length zu verursachen, wodurch die Möglichkeit eines Pufferüberlaufs entsteht weil die nächste Prüfung nicht richtig funktionieren würde. Also haben sie einen Test durchgeführt: if (dest->putPtr + Länge < dest->putPtr) . Ihre Logik war, dass die einzige Möglichkeit, wie diese Aussage jemals wahr sein könnte, darin besteht, dass ein Überlauf auftritt, sodass wir den Überlauf abfangen.

Dies führte zu einer Sicherheitslücke, die tatsächlich ausgenutzt wurde und gepatcht werden musste. Warum? Nun, ohne dass der ursprüngliche Autor es weiß, erklärt die C ++ - Spezifikation, dass der Überlauf eines Zeigers ein undefiniertes Verhalten ist, was bedeutet, dass der Compiler alles tun kann, was er will. Als der ursprüngliche Autor es testete, gab gcc tatsächlich den richtigen Code aus. Einige Versionen später hatte gcc jedoch Optimierungen, um dies zu nutzen. Es stellte sich heraus, dass es kein definiertes Verhalten gab, bei dem diese if -Anweisung ihren Test bestehen konnte, und optimierte sie!

Also für a In wenigen Versionen hatten die Leute SQL-Server, die einen Exploit hatten, obwohl der Code explizite Überprüfungen hatte, um diesen Exploit zu verhindern!

Grundsätzlich sind Programmiersprachen sehr leistungsfähige Werkzeuge, die den Entwickler leicht beißen können. Die Analyse, ob dies eintreten wird, erfordert eine solide Grundlage in der betreffenden Sprache.

(Bearbeiten: Greg Bacon war groß genug, um eine CERT-Warnung zu diesem Thema zu erstellen: Vulnerability Note VU # 162289 C-Compiler Möglicherweise werden einige Umlaufprüfungen stillschweigend verworfen. und auch diese. Danke Greg!)

Ich denke, Sie müssen ein guter Programmierer sein, um erfolgreich zu sein, daher würde ich empfehlen, einer zu werden. Möglicherweise fehlen Ihrem Toolkit / Scanner viele Dinge. Ich empfehle ehrlich gesagt nicht, sich vollständig auf Tools zu verlassen, die Ihren Code für Sie scannen, da sich die Exploits ständig ändern und jemand möglicherweise so codiert hat, dass der Scanner die Sicherheitslücken nicht erkennen kann.

Die Fähigkeit zum Schritt Durch Code zu sehen, wie es funktioniert und wie es nicht funktionieren sollte, ist grundlegend , um die Softwareentwicklung zu sichern. Ein Entwickler, der sich der Sicherheitsprobleme bewusst ist, ist genau das, was Sie für die Herstellung eines soliden Produkts benötigen, und genau das, was Sie während einer Codeüberprüfung benötigen.

Ja, Sie können auf Schwachstellen zeigen und klicken und nach diesen suchen Mit Ihren Scannern und Toolkits wird es im großen Stil nicht sehr effektiv sein. Wissen Sie, wie viel effektiver Sie wären, wenn Sie sich den Code selbst ansehen und feststellen könnten, ob er gut oder schlecht ist? Waaaay besser.

Versuchen Sie nicht, eine sichere Codeüberprüfung zu bestehen, wenn Sie nicht wissen, was Sie tun, aber geben Sie die Idee nicht sofort auf, wenn Sie das Gefühl haben, nicht an einem Punkt zu sein, an dem Sie können eine gute Bewertung abgeben. Ich empfehle, zu lernen, indem Sie Ihre eigenen Modellprüfungen für sicheren Code erstellen und diese einige Male durchgehen, um sicherzustellen, dass alles in Ordnung ist.

Trotzdem sollten Sie auf jeden Fall lernen, nicht nur zu codieren, sondern auch gut zu codieren.

Es ist zweifelhaft, ob ein Sicherheitsexperte die Quellcode-Analyse effektiv durchführen kann, ohne auch ein erfahrener Programmierer zu sein. Viele Schwachstellen sind das Ergebnis technischer oder syntaktischer Codierungspraktiken, die auf geringfügige Weise missbraucht werden. Ein fehlendes Semikolon, ein Gleichheitszeichen anstelle eines Doppelgleichzeichens, eine Array-Grenze, die am ersten Tag doppelt definiert ist, aber eine Version in der nachfolgenden Version geändert wird, fehlende Klammern, Speicherlecks, alle haben zu Sicherheitslücken geführt. Ein erfahrener Entwickler kann diese sehen, ein Anfänger jedoch wahrscheinlich nicht.

Ihr Sicherheitsexperte sollte die Ingenieure dazu ermutigen, automatisierte Scan-Tools wie statische Code-Analysatoren, Fuzz-Tester und dynamische App-Verifizierer zu verwenden . Helfen Sie den Entwicklungsteams, die Eingabevalidierung, Injektionsangriffe und Vertrauensgrenzen zu verstehen. Bauen Sie das Bewusstsein dafür auf, dass Sicherheitsmängel angemessen priorisiert und schnell behoben werden müssen. Planen und führen Sie Pen-Tests durch. Und am wichtigsten ist, dass die Ingenieure Code-Überprüfungen der Arbeit der anderen durchführen.

Ja, der Sicherheitsexperte sollte den Code lesen können, aber das bedeutet nicht, dass er als Schiedsrichter qualifiziert ist Codesicherheit.

Das hängt von Ihren Erwartungen ab. Sicherheitslücken, die durch Designprobleme verursacht werden (dh fehlender CSRF-Schutz, nur rudimentäre Implementierung eines Protokolls usw.), können wahrscheinlich gefunden werden, wenn der Tester über umfassende Kenntnisse der Sicherheitskonzepte verfügt, auch wenn er nur in der Lage ist, den Codefluss ohne zu verfolgen Vertiefte Kenntnisse der spezifischen Programmiersprache.

Sprachspezifische Sicherheitsprobleme wie Pufferüberläufe, Fehler nacheinander, Behandlung von Unicode oder \ 0 , Probleme, die durch verursacht werden Die Größe der Datentypen und der signierten oder nicht signierten Datentypen usw. wird nicht ermittelt, wenn der Tester keine tieferen Kenntnisse der Sprache, der schlechten Praktiken und der typischen sprachspezifischen Unsicherheitsmuster hat. Nehmen Sie als Beispiel die Geschichte der Java-Schwachstellen, bei denen nicht einmal die Entwickler von Java-Experten die Löcher bemerkten, die sie in die Sandbox der Sprache gestanzt hatten, indem sie der Sprache Reflexion hinzufügten, und nur externe Experten mit einem tiefen Verständnis von Die Sprachinternalen haben die Fehler festgestellt.

Die Überprüfung von sicherem Code erfordert nicht nur Kenntnisse der Hochsprache, sondern auch der Compileroptionen und der tatsächlichen Funktionsweise des Codes auf der CPU! Hochsprachen können Code effizient schreiben, da sie einen Großteil der Komplexität verbergen. Viele Fehler und Bugs verbergen sich jedoch in der Komplexität. Wie in einer anderen Antwort ausgeführt, versuchen Compiler, das Richtige zu tun, aber Sie müssen wirklich verstehen, was vor sich geht, indem Sie den Code zerlegen und ein tiefes Verständnis dafür entwickeln, wie er funktioniert.

Dieses Verständnis ist ebenfalls erforderlich mit Skriptsprachen wie JavaScript, die den Code auf hoher Ebene in CPU-Anweisungen und Speicherzuordnung interpretieren. Leider wäre diese Bewertung plattformabhängig. Siehe zum Beispiel unter https://en.m.wikipedia.org/wiki/Interpreted_language.

Muss man ein guter Programmierer sein, um eine sichere Quellcode-Analyse durchzuführen?

Nein.

Kann er eine Leistung erbringen? Sichere Codeüberprüfung ohne Kenntnis mehrerer Programmiersprachen und Beherrschung dieser?

Nein.

Programmierung beinhaltet mehr als Fachwissen über die Funktionsweise verschiedener Sprachen. Dies ist eines der Dinge, die Sie benötigen, um ein guter Programmierer zu sein, und es ist auch eines der Dinge, die Sie benötigen, um Quellcode aus einer Sicherheitsperspektive (oder einer anderen Qualität) analysieren zu können.

Also, während Sie Sie müssen kein guter Programmierer sein, Sie müssen die beteiligten Sprachen beherrschen.

Um die Gefahr von Seitenkanalangriffen richtig einzuschätzen, müssen Sie über Hardware verfügen. Es gibt wirklich hässliche Seitenkanalangriffe, wie das Ausführen eines nicht privilegierten Prozesses auf einem Multi-CPU-Setup parallel zu einem privilegierten Prozess, der eine Verschlüsselungs- / Entschlüsselungsaufgabe ausführt und prüft, welche gemeinsam genutzten Cache-Zeilen in welcher Art von zeitlichem Muster oder durch verschmutzt werden Timing der jeweiligen Übermittlung bestimmter Mustersequenzen, die verschlüsselt werden.

Da Verschlüsselungsalgorithmen von Mathematikern und anderen Theoretikern einer intensiven Prüfung unterzogen werden, werden Seitenkanalangriffe immer wichtiger, um das Spiel wieder zu öffnen. Der Nachteil ist, dass sie für eine bestimmte Implementierung, einen bestimmten Code und eine bestimmte Hardware entwickelt werden müssen.