一图看懂软件缺陷检查涉及的内容

摘要：软件安全检查极具挑战性，目前的主要理论和技术研究都是欧美完成的。希望有更多的软件开发人员能够投入到这个领域，为国产的静态软件分析做出贡献。

本文分享自华为云社区《一图看懂软件缺陷检查涉及的内容》，作者：Uncle_Tom 。

1. 引言

常常被老婆说：“每天弄到三更半夜，不知道你在搞什么！”。

亦或总是被朋友说：“都不知道你在说什么，尽发些看不懂的博客！”。

亦或总是被老大说：“你一句话说不清楚，就不要说了！”。

每每这个时刻，头脑中总是闪过无数的内容，千头万序，不知该从何说起。。。。。。

终于在再次被批的时候，头脑中电光一闪，是不是可以这样。。。

在回家的地铁上构思了几天。终于在晚上给小的讲完故事后，弄了个初稿出来，这下是不是能看懂些了？

2. 软件开发中缺陷的引入

2.1. 软件开发

软件是一系列按照特定顺序组织的计算机数据和指令的集合，用于完成设定的功能。软件已经融入到我们生活的方方面面，例如我们熟悉的计算数据、购物、交友、导航、游戏、点菜、支付等等。这些软件是经过软件设计人员的设计之后，由程序员通过某种程序语言完成编写。

2.2. 漏洞的形成

是人总会犯错误。这里有客观的原因，也有主观的原因。客观的原因是设计和开发人员对软件的安全缺乏认识，在设计和开发过程中,不知觉地引入了安全问题。目前来看设计引入的安全问题占了已知软件缺陷问题的一半以上；另一部分是开发过程中，由程序员引入的。所以软件的安全需要从设计阶段开始防范，加强设计和开发人员的软件安全培训；同时在软件编写阶段，通过静态检查工具检测可能发生的潜在安全问题，这也是目前流行的说法“安全左移”，而不能等到测试阶段再来完成安全检查。还有一小部分，则是由于缺少职业道德的程序员或别有用心的人员，在编写过程中直接写入的，我们通常称为“后门”。这些后门，在特定情况下会被启用，用于破环、监听、勒索等不正当的目的。对于这类软件缺陷问题，主要通过加强对程序员职业操守的培训来避免。

2.3. 缺陷漏洞的发现

这些无意的和有意的软件缺陷，在使用过程中，被人们无意或有意的发现了，成为已知漏洞。程序中还存在很多未知的漏洞。黑客往往采用嗅探（近似遍历）的方法，寻找这些已知漏洞，然后利用这些找到的漏洞，一步步的入侵你的计算机系统，得到控制权。

3. 漏洞库

为了降低漏洞造成的危害，国家层面会成立一个漏洞管理组织，用于漏洞信息的统一发布，例如我国的CNNVD，美国NVD，就是这样的组织。

3.1. 缺陷(CVE)

每一个被报告的缺陷称为一个"通用漏洞披露"(Common Vulnerabilities and Exposures (CVE)), 并按年份进行了编号。例如，我们熟悉的心脏滴血（Heartbleed）漏洞的CVE编号是CVE-2014-0160。它可以利用网络传输协议漏洞窃取你的账号、密码等加密信息。

3.2. 缺陷分类(CWE)

为了便于缺陷的管理，于是有了"通用缺陷枚举"(Common Weakness Enumeration(CWE))对缺陷进行分类和甄别，每种分类或缺陷被赋予了一个CWE编号，便于人们交流时明确具体的问题，避免由于对缺陷描述的差异而造成歧义。

3.3. 缺陷危害评估

每个缺陷造成的危害是不一样，为了评估缺陷的危害程度，有了"通用漏洞评分系统"(Common Vulnerability Scoring System(CVSS)), 得分基于一系列维度上的测量结果进行度量打分。漏洞的最终得分最大为10，最小为0。

严重漏洞：得分7~10的漏洞；
中级漏洞：得分在4~6.9之间；
低级漏洞：得分在0~3.9之间。

4. 高危漏洞

我们平时在软件开发的过程中，需要注意哪些高危的安全问题？或者检查工具应该重点防范那些安全问题？

4.1. 最危险的25种缺陷（CWE TOP 25）

CWE的组织每年会将过去一年缺陷库(NVD)中的漏洞, 按照发生数量和危害程度进行评分，得到最需要防范的25种软件缺陷，放到CWE的版本中进行发步。

4.2. web应用最危险的10种缺陷（OWASP TOP 10）

开放的社区"Web应用程序安全性项目(Open Web Application Security Project (OWASP))", 每3-4年也会统计Web应用中，公布危害最大的10种软件缺陷。这个信息也会被CWE收录到CWE的新版本中。

5. 各种安全规范

软件的漏洞危害会给组织带来经济或声誉上极大的伤害。所以在软件的开发过程中，通常采用编码规范的方式，来提醒和约束程序员的开发过程，以确保程序中减少安全风险。

这些规范按照来源和用途大致可以分为以下几种：

5.1. 通用编程规范

卡内基梅隆大学(Carnegie Mellon University)的软件工程院(Software Engineering Institute(SEI))的CERT部门是网络安全领域的领导者，也是政府、行业、执法和学术界的合作伙伴。CERT部门的目标是提高计算机系统和网络的安全性和弹性。 CERT专家开发了先进的方法和技术来应对大规模复杂的网络威胁，并与M国土安全局紧密合作，设定了数据收集和挖掘、统计和趋势分析、计算机和网络安全、事件管理、内部威胁和软件保证等领域的研究目标。他们先后发布了C、C++、Java的编码规范，这些规范几乎成了业界编码规范的主要参考依据或重要组成部分。

SEI CERT C Coding Standard (2016 Edition)
SEI CERT C++ Coding Standard (2016 Edition)
SEI CERT Oracle Coding Standard for Java

5.2. 行业规范

软件应用的各个行业依据行业特点，也先后发布了各自的行业编码规范。

汽车行业
- MISRA C 2012
- MISRA C++ 2008
- AUTOSAR C++14
航空业
- Joint Strike Fighter Air Vehicle C++ Coding Standards(JSF)
- JPL Institutional Coding Standard for the C Programming Language(JPL)
- RTCA DO-178C
金融行业
- PCI-DSS
食品医药行业
- DFA

5.3. 国际标准化组织

ISO-17961 Information technology—Programming languages, their environments and system software interfaces—C secure coding rules
ISO/IEC DIS 5055 Information technology — Software measurement — Software quality measurement — Automated source code quality measures

5.4. 国家标准或出版物

各个国家也都为安全编码推行了不少的编码标准或是出版物。

5.4.1. 国标

GB/T 34943-2017 C_C++语言源代码漏洞测试规范
GB/T 34944-2017 Java语言源代码漏洞测试规范

5.4.2. 美国国家标准技术研究院(NIST)

美国国家标准技术研究院发布的标准系列文件中，计算机相关的标准主要放在SP500和SP800(SP是Special Publications的缩写)。虽然NIST SP并不作为正式法定标准，但在实际工作中，已经得到美国和国际安全界广泛认可，并成为重要的标准。

计算机系统SP500
- NIST SP 500-268 Source Code Security Analysis Tool Function Specification Version 1.1：描述软件安全分析工具的功能规格;
- NIST SP 500-326 SATE V Report:Ten Years of Static Analysis Tool Expositions: 静态分析工具大会, 重点描述了静态分析工具的评估方法。
信息安全SP800
SP800发布的一系列关于信息安全的指南，成为指导美国信息安全管理建设的主要标准和参考资料。它们专门为美国联邦机构提供基线和框架，是联邦信息安全管理法案（FISMA）合规性的重要组成部分。
- NIST SP800-51 Guide to Using Vulnerability Naming Schemes：描述通用缺陷（CVE）缺陷命名方案的使用；
- NIST 800-207 Zero Trust Architecture: 描述零信任框架；
- NIST SP800-218 Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities：描述软件开发框架用于防范供应链攻击。

5.4.3. 软件缺陷检查工具

上面这些各种安全规范，是不可能通过人工对代码一个个的去检查和审核的，这需要静态分析工具能够适配这些编码规范，自动化的完成这些规范的检查，尽可能的在软件发布之前，完成这些缺陷的检测和修复，以降低软件潜在的安全风险。所以静态检查工具在软件安全中扮演着非常重要的守护作用。

6. 总结

这个图更多的是从如何减少软件缺陷出发，展示了业界发布的各种编码规范中的一部分，这些规范都是静态检查工具在检查的过程中需要完成覆盖的；
这个图还缺少很多部分：
- 静态检查工具对隐私保护的遵从；
- 软件安全防护或攻击的各种框架，例如ATT&CK攻击框架；
- 静态检查工具能力的评估
软件安全检查极具挑战性，目前的主要理论和技术研究都是欧美完成的。希望有更多的软件开发人员能够投入到这个领域，为国产的静态软件分析做出贡献。

点击关注，第一时间了解华为云新鲜技术~