OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性安排,不依附于任何企业或财团的安全安排,几乎每隔3年发布的OWASP TOP 10安全缝隙以及成为安全行业事实上的规范。各安全检测东西以支撑OWASP TOP 10中的更多安全缝隙类型作为目标。A8站源码交易平台
作者计算了OWASP 2004、2007、2010、2013和2017总共五次发布的TOP 10,因为TOP 10排序是依据调研结果收拾出的安全缝隙发作的多少、或重视的多少进行排名的,所以发布的安全缝隙中大量是重复的,作者经过收拾剖析,其实5次发布的安全缝隙总共涉及到20种安全缝隙类型,如下表:

其间A1—A10编号是2017发布的迄今最新的TOP 10。经过对TOP 10原文中每种安全类型的剖析,其间大部分安全缝隙类型是能够借助SAST自动化检测东西实现或能够经过SAST类检测东西能够支撑的。如下表:

从上面的表中能够看到,A2-失效的身份认证和会话管理/失效的身份认证,该种安全缝隙类型一般是很难经过SAST东西静态剖析检测出来,是需求经过DAST类东西进行动态检测或人工检测。A10-缺乏的日志记载和监控安全缝隙类型一般也是经过DAST东西检测,虽然说SAST类东西从对写日志文件相关的代码上能够静态剖分出一些缺点,例如,在日志中写入敏感信息等问题,但是无法动态检测或监控日志文件。经过作者剖析,OWASP TOP 10 2017中列出的10种最多安全缝隙类型中的8种是能够经过SAST静态剖析东西检测出来的。A8站源码交易平台
那么库博(CoBOT)作为一款自主、可控的国产东西,关于OWASP TOP 10支撑究竟如何呢?作者依据开发团队从东西对应的数据库中导出了检测器列出,因为开发言语比较多,作者只剖析了Java开发言语对应的安全缝隙检测类型,经过较为细致剖析和汇总,得出库博所支撑的检测器列表: 经过上表能够看到,库博东西至少有115个检测器对应到了历届OWASP TOP 10中的安全缝隙类型,也便是说TOP 10中的每种安全缝隙类型都可能对应多种检测器,从不同角度检测安全缝隙。而A9-使用含有已知缝隙的构件是能够经过代码成分剖析和同源缝隙检测东西能够检测出构件中的已知安全缝隙,需求CoBOT SCA东西的支撑。CoBOT SCA支撑A9安全缝隙检测数量的多少是由库博安全大数据库中的开源构件中的数量决议的,现在该库中现已累计了将近10T的构件代码,这些构件代码中的缝隙便是已知缝隙,如果开发的程序中引用了该构件,则存在相应的安全缝隙。因为CSRF进犯安全缝隙类型现已不在TOP 10中,是因为现在许多Java开发框架或浏览器一定程度上防止出现CSRF进犯,该类型缝隙部分状况也能够经过SAST东西检测出来。
库博源代码缺点检测东西,虽然名称是缺点检测东西,这里的缺点是一个广义的概念,也把代码中的安全缝隙认为是代码的缺点。实际上,库博关于安全缝隙检测能力现已十分强大,这些经过腾讯、阿里等互联网企业应用库博东西对其web应用进行代码安全检测得到证实。
A8站源码交易平台