靜態分析安全測試
靜態分析安全測試 (SAST) 威力強大,可識別程式中潛在的安全缺失。
雖然技術各異,但 SAST 工具目的都在於提出安全警告,指出進入程式原始碼的途徑有潛在風險。有風險的途徑通常涉及接收使用者操控的資料,此資料通過原始碼,最後流到程式外面,例如網站購物表單將資料輸入訂單資料庫表格中。有時也會反過來:資料可能從資料庫回流到使用者。
當系統未修改使用者資料以移除攻擊(消毒),或未對照已知良好字元清單(驗證或容許清單)進行檢查時,SAST 工具會顯示安全性警告(也稱為發現項目)。缺乏消毒或驗證時會導致發現項目標示為潛在危害。這種潛在危害的途徑和發現項目就是 SAST 工具要在原始碼找出的目標。
SAST 工具所做的評量完整又深入。對工具而言,這是強項也是挑戰。單一程式有數千個發現項目並不罕見,全面檢閱這些發現項目的作業可說是相當繁重。傳統上是以兩種方法來管理如此大量的發現項目,如下所示:
- 掃描較小的程式攻擊面,因此需要檢閱的發現項目較少,但未識別的重要發現項目有較高的風險。
- 增派人力來檢閱結果。
「智慧型發現項目分析 (IFA)」提供另一種方法管理來自 SAST 評量的大量發現項目。
若要利用 IFA,請驗證 scan.ozsettings 中的內容 use_ifa 是否設定為 "true"。