SARIF 在应用过程中对深层次需求的实现
摘要: 为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(Static Analysis Results Interchange Format (SARIF))来解决这些问题。
本文分享自华为云社区《DevSecOps工具与平台交互的桥梁-- SARIF进阶》,原文作者:Uncle_Tom。
1. 引言
目前 DevSecOps 已经成为构建企业级研发安全的重要模式。静态扫描工具融入在 DevSecOps 的开发过程中,对提高产品的整体的安全水平发挥着重要的作用。为了获取安全检查能力覆盖的最大化,开发团队通常会引入多个安全扫描工具。但这也给开发人员和平台带来了更多的问题,为了降低各种分析工具的结果汇总到通用工作流程中的成本和复杂性, 业界开始采用静态分析结果交换格式(Static Analysis Results Interchange Format (SARIF))来解决这些问题。本篇是 SARIF 应用的入门篇和进阶篇中的进阶篇,将介绍 SARIF 在应用过程中对深层次需求的实现。对于 SARIF 的基础介绍,请参看《DevSecOps工具与平台间交互的桥梁–SARIF入门》。
2. SARIF 进阶
上次我们说了 SARIF 的一些基本应用,这里我们再来说下 SARIF 在更复杂的场景中的一些应用,这样才能为静态扫描工具提供一个完整的报告解决方案。
在业界著名的静态分析工具 Coverity 最新的 2021.03 版本中,新增的功能就包括: 支持在 GitHub 代码仓中以 SARIF 格式显示 Coverity 的扫描结果。可见 Covreity 也完成了 SARIF 格式的适配。
2.1. 元数据(metadata)的使用
为了避免扫描报告过大,对一些重复使用的信息,需要提取出来,做为元数据。例如:规则、规则的消息,扫描的内容等。
下面的例子中,将规则、规则信息在 tool.driver.rules 中进行定义,在扫描结果(results)中直接使用规则编号 ruleId 来得到规则的信息,同时消息也采用了 message.id 的方式得到告警信息。 这样可以避免规则产生同样告警的大量的重复信息,有效的缩小报告的大小。
vscode 中显示如下:
2.2. 消息参数的使用
扫描结果的告警往往需要,根据具体的代码问题,在提示消息中给出具体的变量或函数的相关信息,便于用户对问题的理解。这个时候可以采用消息参数的方式,提供可变动缺陷消息。
下例中,对规则的消息中采用占位符的方式("{0}")提供信息模板,在扫描结果(results)中,通过 arguments 数组,提供对应的参数。 在 vscode 中显示如下:
2.3. 消息中关联信息的使用
在有些时候,为了更好的说明这个告警的发生原因,需要给用户提供更多的参考信息,帮助他们理解问题。比如,给出这个变量的定义位置,污染源的引入点,或者其他辅助信息。
下例中,通过定义问题的发生位置(locations)的关联位置(relatedLocations)给出了,污染源的引入位置。 在 vscode 中显示如下, 但用户点击“here”时,工具就可以跳转到变量 expr 引入的位置。
2.4. 缺陷分类信息的使用
缺陷的分类对于工具和扫描结果的分析是非常重要的。工具可以依托对缺陷的分类进行规则的管理,方便用户选取需要的规则;另一方面用户在查看分析报告时,也可以通过对缺陷的分类,快速对分析结果进行过滤。 工具可以参考业界的标准,例如我们常用的 Common Weakness Enumeration (CWE), 也可以自定义自己的分类,这些 SARIF 都提供了支持。
缺陷分类的例子
2.4.1. 业界分类标准的引入(runs.taxonomies)
taxonomies 的定义
taxonomies 节点是个数组节点,可以定义多个分类标准。 同时 taxonomies 的定义参考定义组节点 definitions 下的 toolComponent 的定义。这与我们前面的工具扫描引擎(tool.driver)和工具扩展(tool.extensions)保持了一致. 这样设计的原因是引擎和结果的强相关性,可以通过这样的方法使之保持属性上的一致。
业界标准分类(standard taxonomy)的定义
例子中通过 runs.taxonomies 节点,声明了业界的分类标准 CWE。 在节点 taxonomies 中通过属性节点给出了该规范的描述,下面的只是样例,具体的参考SARIF的规范说明:
name: 规范的名字;
version: 版本;
releaseDateUtc: 发布日期;
guid: 唯一标识,便于其他地方引用此规范;
informationUri: 规则的文档信息;
downloadUri:下载地址;
organization:发布组织
shortDescription:规范的短描述。
2.4.2. 自定义分类的引入(runs.taxonomies.taxa)
taxa 是个数组节点,为了缩小报告的尺寸,没有必要将所有自定义的分类信息都放在 taxa 节点下面,只需要列出和本次扫描相关的分类信息就够了。 这也是为什么后面标识是否全面(isComprehensive)节点的默认值是 false 的原因。
例子中通过 taxa 节点引入了一个工具需要的分类:CWE-401 内存泄漏,并用 guid 和 id,做了这个分类的唯一标识,便于后面工具在规则或缺陷中引用这个标识。
2.4.3. 工具与业界分类标准关联(tool.driver.supportedTaxonomies)
工具对象通过 tool.driver.supportedTaxonomies 节点和定义的业界分类标准关联。supportedTaxonomies 的数组元素是 toolComponentReference 对象,因为分类法 taxonomies 本身是 toolComponent 对象。 toolComponentReference.guid 属性与 run.taxonomies []中定义的分类法的对象的 guid 属性匹配。
例子中 supportedTaxonomies.name:CWE, 它表示此工具支持 CWE 分类法,并用引用了 taxonomies[0]中的 guid:A9282C88-F1FE-4A01-8137-E8D2A037AB82,使之与业界分类标准 CWE 关联。
2.5. 规则与缺陷分类关联(rule.relationships)
规则是在 tool.driver.rules 节点下定义,rules 是个数组节点,规则通过数组元素中的 reportingDescriptor 对象定义;
每个规则(ReportingDescriptor)中的 relationships 是个数组元素,每个元素都是一个 reportingDescriptorRelationship 对象,该对象建立了从该规则到另一个 reportingDescriptor 对象的关系。关系的目标可以是分类法中的分类单元(如本例中所示),也可以是另一个工具组件中的另一个规则;
关系(ReportingDescriptorRelationship)中的 target 属性标识关系的目标,它的值是一个 reportingDescriptorReference 对象,由此引用对象 toolComponent 中的 reportingDescriptor;
reportingDescriptorReference 对象中的 toolComponent 是一个 toolComponentReference 对象, 指向工具 supportedTaxonomies 中定义的分类。
下图为例子中的规则与缺陷分类的关联图:
2.5.1. 扫描结果中的分类(result.taxa)
在扫描结果(run.results)中, 每一个结果(result)下,有一个属性分类(taxa), taxa 是一个数组元素,数组中的每个元素指向 reportingDescriptorReference 对象,用于指定该缺陷的分类。 这个与规则对应分类的方式一样。从这一点也可以看出,我们可以省略 result 下的 taxa,而是通过规则对应到缺陷的分类。
2.6. 代码流(Code Flow)
一些工具通过模拟程序的执行来检测问题,有时跨多个执行线程。 SARIF 通过一组位置信息模拟执行过程,像代码流(Code Flow)一样。 SARIF 代码流包含一个或多个线程流,每个线程流描述了单个执行线程上按时间顺序排列的代码位置。
2.6.1. 缺陷代码流组(result.codeFlows)
由于缺陷中,可能存在不止一个代码流,因此可选的 result.codeFlows 属性是一个数组形式的 codeFlow 对象。
2.6.2. 代码流的线程流组(codeFlow.threadFlows)
codeFlow 的定义可以看到,每个代码流有,由一个线程组(threadFlows)构成,且线程组(threadFlows)是必须的。
2.6.3. 线程流(threadFlow)和线程流位置(threadFlowLocation)
在每个线程流(threadFlow)中,一个数组形式的位置组(locations)来描述工具对代码的分析过程。
线程流(threadFlow)定义:
线程流位置(threadFlowLocation)定义:
位置组(locations)中的每个元素, 又是通过 threadFlowLocation 来表示工具的对代码位置的访问。 最终通过 location 类型的 location 属性给出分析的位置信息。location 可以包含物理和逻辑位置信息,因此 codeFlow 也可以用于二进制的分析流的表示。
在 threadFlowLocation 还有一个 state 属性的节点,我们可以通过它来存储变量、表达式的值或者符号表信息,或者用于状态机的表述。
2.6.4. 代码流样例
参考代码
上面是一个 python 代码的代码注入的一个案例。
在第四行,输入信息赋值给变量 expr;
在第五行,变量 expr 通过函数 use_input 的第一个参数,进入到函数 use_input;
在第八行,通过函数 print 打印输入结果,但这里使用了函数 eval()对输入参数进行了处理,由于参数在输入后,未经过检验,就直接用于函数 eval 的处理, 这里可能会引入代码注入的安全问题。
这个分析过程可以通过下面的扫描结果表现出来,便于用户理解问题的发生过程。
扫描结果
这里只是一个简单的示例,通过 SARIF 的 codeFLow,我们可以适应更加复杂的分析过程,从而让用户更好的理解问题,进而快速做出判断和修改。
2.7. 缺陷指纹(fingerprint)
在大型软件项目中,分析工具一次就可以产生成千上万个结果。为了处理如此多的结果,在缺陷管理上,我们需要记录现有缺陷,制定一个扫描基线,然后对现有问题进行处理。同时在后期的扫描中,需要将新的扫描结果与基线进行比较,以区分是否有新问题的引入。为了确定后续运行的结果在逻辑上是否与基线的结果相同,必须通过一种算法:使用缺陷结果中包含的特有信息来构造一个稳定的标识,我们将此标识称为指纹。使用这个指纹来标识这个缺陷的特征以区别于其他缺陷,我们也称这个指纹为这个缺陷的缺陷指纹。
缺陷指纹应该包含相对稳定不变的缺陷信息:
产生结果的工具的名称;
规则编号;
分析目标的文件系统路径;这个路径应该是工程本身具有的相对路径。不应该包含路径前面工程存放位置信息,因为每台机器存放工程的位置可能不同;
缺陷特征值(partialFingerprints)。
SARIF 的每个扫描结果(result)中提供了一组这样的属性节点,用于缺陷指纹的存放,便于缺陷的管理系统通过这些标识,识别缺陷的唯一性。
只通过缺陷的固有的信息特征,在某些情况下,不容易得到唯一识别结果的信息。这个时候我们需要增加一些与这个缺陷强相关的一些属性值,做为附加信息来加入到缺陷指纹的计算中,使最后的计算得到的指纹唯一。这个有些像我们做加密算法时的盐值,只是这个盐值需要保证生成的唯一值具有可重复性,以确保下次扫描时,对于同一缺陷能够得到相同的输入值,从而得到和上次一样的指纹。例如,工具在检查文档中是否存在敏感性的单词,告警信息为:“ xxx 不应在文档中使用。”,这个时候就可以使用这个单词作为这个缺陷的一个特征值。
SARIF 格式就提供了这样一个 partialFingerprints 属性,用于保存这个特征值,以允许 SARIF 生态系统中的分析工具和其他组件使用这个信息。缺陷管理系统可以将其附加到为每个结果构造的指纹中。前面的例子中,该工具就可以会将 partialFingerprints 对象中的属性的值设置为:禁止的单词。缺陷管理系统应该在其指纹计算中将信息包括在 partialFingerprints 中。
对于 partialFingerprints,应该只添加和缺陷特征强相关的属性,而且属性的值应该相对稳定。 比如,缺陷发生的代码行号就不适合加入到指纹的的逻辑运算中,因为代码行是一个会经常变动的值,在下次扫描的时候,很可能因为开发人员在问题行前添加或删除了一些代码行,而使同样的问题在新的扫描报告中得到不一样的代码行,从而影响缺陷指纹的计算值,导致比对时发生差异。
尽管我们试图为每个缺陷找到唯一的标识特征,还加入了一些可变的特征属性,但还是很难设计出一种算法来构造一个真正稳定的指纹结果。比如刚才的例子,如果同一个文件中存在几个同样的敏感字,我们这个时后还是无法为每一个告警缺陷给出一个唯一的标识。当然这个时候还可以加入函数名作为一个指纹的计算因子,因为函数名在一个程序中是相对稳定的存在,函数名的加入有助于区分同一个文件中同一个问题的出现范围,但还是会存在同一个函数内同样问题的多个相同缺陷。 所以尽管我们尽量区分每一个告警, 但缺陷指纹相同的场景在实际的扫描中还是会存在的。
幸运的是,出于实际目的,指纹并不一定要绝对稳定。它只需要足够稳定,就可以将错误报告为“新”的结果数量减少到足够低的水平,以使开发团队可以无需过多努力就可以管理错误报告的结果。
3. 总结
SARIF 给出了静态扫描工具的标准输出的通用格式,能够满足静态扫描工具报告输出的各种要求;
对于各种静态扫描工具整合到 DevSecOps 平台,SARIF 将降低扫描结果汇总到通用工作流程中的成本和复杂性;
SARIF 也将为 IDE 整合各种扫描结果,提供统一的缺陷处理模块提供了可能;扫描结果在 IDE 中的缺陷展示、修复等,这样可以让工具的开发商专注于问题的发现,而减少对各种 IDE 的适配的工作量;
SARIF 已经成为 OASIS 的标准之一,并被微软、GrammaTech 等重要静态扫描工具厂商在工具中提供支持;同时 U.S. DHS, U.S. NIST 在一些静态检查工具的评估和比赛中,也要求提供扫描报告的格式采用 SARIF;
SARIF 虽然目前主要是为静态扫描工具的结果设计的,但由于其设计的通用性,一些动态分析工具厂商也给出了 SARIF 的成功应用。
4. Reference
Industry leaders collaborate to define SARIF interoperability standard for detecting software defects and vulnerabilities
OASIS Awards 2018 Open Standards Cup to KMIP for Key Management Security and SARIF for Static Analysis Tools
OASIS Static Analysis Results Interchange Format (SARIF) Technical Committee
Static Analysis Results: A Format and a Protocol: SARIF & SASP
浅谈 language server & LSIF & SARIF & Babelfish & Semantic & Tree-sitter & Kythe & Glean等
版权声明: 本文为 InfoQ 作者【华为云开发者社区】的原创文章。
原文链接:【http://xie.infoq.cn/article/6955c4b5f17294632ec6c4efa】。文章转载请联系作者。
评论