灵脉SAST3.4|新一代SAST携AI智能修复与供应链安全情报重磅升级!

信息化观察网
刘艺
传统SAST工具在进行污点分析时,通常不会分析是否过滤,或者识别过滤能力较差,这会导致误报情况经常发生。灵脉SAST引擎支持对不同漏洞类型进行识别过滤及修复,从而可以排除一些无关的污点数据,有效减少误报率,使研发人员能够集中精力解决真正的安全风险。

多模智能引擎升级

检测能力全面增强

01检测规则突破8000+

灵脉SAST持续扩展检测规则,目前知识库已支持8500+检测规则,其中:

●Java:新增80+规则;

●C/C++:新增130+规则,包括国军标GJB-5369、汽车行业标准MISRA C-2012等标准集;

●其他语言检测规则包括:Objective-C、Node.js、Rust、Shell、Clojure、Dockerfile、Json等;

同时对应更新了各检测语言的分析模板:包括补充新增语言的推荐模板,优化Java、C、C++常用分析模板,例如OWASP TOP10 2021、CWE/SANS TOP25等。

640 (1).png

02检测精度再创新高

新增Objective-C构建捕获能力

Objective-C语言直接基于源代码检测时无法生成完整的AST语法树逻辑,可能存在大量误报和漏报;灵脉SAST通过构建编译过程捕获Objective-C代码的AST抽象语法树,显著提升检测准确性,这对于Objective-C的动态特性和继承C的复杂性尤为重要,便于iOS开发者加速识别应用代码安全。

优化Java语言部分反射特性

灵脉SAST增强了对Java反射API的解析能力,提升在处理动态代码执行时的精确度。通过对Java反射调用的更深入分析,用户能够追踪到潜在的非直观污点路径和相关的安全隐患,如未经授权的对象访问。

新增针对不同漏洞类型的过滤及修复识别

传统SAST工具在进行污点分析时,通常不会分析是否过滤,或者识别过滤能力较差,这会导致误报情况经常发生。灵脉SAST引擎支持对不同漏洞类型进行识别过滤及修复,从而可以排除一些无关的污点数据,有效减少误报率,使研发人员能够集中精力解决真正的安全风险。

03丰富的检测框架

新增支持Dubbo,gRPC,WebSocket等流行框架,覆盖更多网络通信和服务架构的安全漏洞:

1

Dubbo适用于构建大型分布式系统中的微服务通信,在高并发和高可靠性要求的系统中广泛应用;

2

gRPC适用于构建跨语言的高性能分布式系统;

3

WebSocket则适用于实现实时双向通信的Web应用场景,WebSocket的实时性和低延迟特性使其在实时应用中(如在线游戏、实时数据推送等)非常重要。

04检测语言类型遥遥领先

灵脉SAST 3.4版本新增支持Node.js、Rust、Clojure、Dockerfile、Json等语言,支持检测语言总数达到38。

640 (1).jpg

双倍AI融合

联动数字供应链安全情报XSBOM

灵脉SAST AI多模引擎在接入SCA引擎基础上,3.4版本全新深度融合数字供应链安全情报XSBOM能力:

1

可提供实时的开源组件投毒攻击情报、漏洞威胁情报、组件运营风险情报、代码数据泄露情报;

2

结合SCA生成的最新SBOM清单,将“与我有关”的数字供应链安全风险第一时间进行预警,分析出影响的资产范围快速定位责任人;

3

利用情报的修复缓解建议,快速定位风险并进行风险处置,由此更敏捷应对数字供应链安全威胁。

640 (1).png

流程闭环

AI智能修复

灵脉SAST全新接入AI大模型智能算法:

通过将用户代码进行分块并构建向量索引、建立用户代码向量库,基于RAG及LLM编排技术,AI大模型对需要修复的漏洞代码进行检索,快速精确地匹配并提供最适合当前代码上下文的修复方案及修复建议。

软件开发团队在开发过程中解决代码安全问题,特别是在处理大规模代码库时,灵脉SAST的AI智能修复功能可以大幅度减少人工审查的工作量和时间,加速开发进度。

640 (1).png

敏捷兼容

扩展集成配置

1、集成管理-IDE:

(1)新增Visual Studio插件;

(2)更新IntelliJ IDEA、Eclipse、Visual Studio Code插件中扫描方式配置,提高检测效率。

2、集成管理-CI/CD:

(1)新增Jenkins、Azure DevOps、阿里云云效DevOps脚本,丰富持续集成的应用场景;

(2)更新IDE-IntelliJ IDEA、Eclipse、Visual Studio Code插件、CI/CD-蓝鲸插件、GitLab-CI脚本中扫描方式配置,支持选择快速扫描检测方式,满足轻量化检测场景。

640 (1).png

3、代码仓库:

新增TFS、FTP、共享目录拉取方式。

增强平台安全保障能力

1

用户中心-账号安全:新增访问白名单功能,支持设置通过IP控制访问白名单,保障平台访问安全;

2

系统管理-新增数据清理功能,支持设置检测文件清理机制。可清理掉不必要的检测文件减少备份所需的存储空间,提高平台性能;

3

系统管理-系统信息:新增存储告警功能:支持实时监控各主机磁盘占用情况,针对磁盘占用过满情况实时进行告警,从而实现对存储系统的预防性维护,避免平台出现存储过满导致检测业务中断的情况。

持续提升平台易用性

1、新建任务:

(1)本地上传:新增rar格式文件上传。

(2)细化消息通知机制,支持选择消息通知缺陷阈值,实现消息通知定制化服务。

(3)新增异步上传机制,避免上传大文件等待时间过长问题,提高检测效率。

(4)针对检测中的任务:新增检测进度展示,可实时查看检测情况。

2、缺陷列表:

优化左侧视图展示:支持按风险等级、缺陷类型、文件、标准集多种视图方式展示,更加贴合用户使用场景。

3、缺陷审计:

(1)左侧缺陷清单:优化缺陷筛选方式,支持按缺陷名称展示和检索。

(2)缺陷跟踪路径:新增通过按钮切换缺陷跟踪路径展示,排查缺陷更方便。

(3)缺陷审计:新增按GB/T30279信息安全技术-网络安全漏洞分类分级指南审计缺陷。主要结合缺陷的被利用性、影响程度和环境因素三个维度指标及其赋值条件进行审计。

(4)新增自动审计:在同一任务中,支持依照某条已审计缺陷的特征,自动审计同类缺陷,由此提高缺陷审计效率。

4、生成报告:

新增HTML报告格式,查看报告方式更便捷。

5、规则管理-自定义污点跟踪:

新增配置指南展示,指导用户配置污点跟踪集进行检测。

6、集成管理-项目管理:

优化禅道、Jira字段配置,同步缺陷信息更细致。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论