freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈基于程序分析技术的软件漏洞治理
2022-04-13 11:01:34
所属地 北京

一、 软件漏洞问题日趋严重

随着数字化转型进程加速,软件系统与互联网或其他网络的连接更加普遍与密切,企业各类信息化系统、软件以及第三方组件之间的依赖关系越来越大,软件系统上线周期越来越频繁。软件资产扩大的同时,由于配置不合规、各类漏洞、弱口令等问题存在,使得软件系统隐藏的缺陷与漏洞越来越多,受攻击面不断扩大。

从美国Colonial Pipeline输油.管道攻击到肉类加工公司JBS遭受破坏,从API漏洞到云安全。未知漏洞攻击增加,勒索软件变种升级,关键信息基础设施逐渐成为重点。网络环境逐渐复杂化,恶意软件呈现多样化,“大型漏洞”听起来似乎离我们很遥远,但它们正成为现代网络危机的一个常见特征。

根据国家计算机网络应急技术处理协调中心(简称“CNCERT”)《2021年上半年我国互联网安全监测数据分析报告》数据显示,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量同比增长18.2%,共计13083个,0Day漏洞收录数量为7,107个(占54.3%),同比大幅增长55.1%。

软件安全是网络安全的基础防线,美国国家标准与技术局(NIST)、国家漏洞数据库(NVD))数据显示:90%以上的网络安全问题是由软件自身的安全漏洞被利用导致的。加强漏洞治理来提高软件自身“免疫力”可以有效防治针对漏洞利用的网络攻击。

二、 漏洞治理的趋势

观点1: 软件漏洞的治理的目标是100%的漏洞问题得到解决。任何一种工具方法都无法100%解决漏洞问题。

近年来漏洞治理的趋势包括:

1-更多工具方法的综合应用。其中主流的漏洞治理方法有以下两大类型

2- 在软件从开发到运行的完整软件生命周期中持续漏洞治理工作。

  • 在软件开发阶段发现和修复漏洞的成本最低,更早的预防能减少软件上线后的风险。不同研发生命周期的缺陷修复成本
  • 网络攻击手段不断进化,需要最大程度上预防和修复漏洞。不但需要对已知漏洞打上补丁,更重要的是在开发阶段对代码缺陷可能造成的未知漏洞提前修复。

本文主要关注程序分析技术在漏洞治理中的应用。

三、 基于程序分析技术的软件漏洞治理方法

程序分析技术在漏洞治理方面有着广泛多样的应用形态,各形态统一的特点都是以对程序代码信息的分析为基础。

具体基于程序分析的程序安全分析的方法分为静态和动态两大类型。

从表格中可以直观感受到静态分析方法和动态分析方法各有千秋。真正能够各取所长,互补所短的动静态结合分析方法是领域前进的方向。

四、 通过动静态聚合分析形成漏洞治理体系

观点2 让静态分析和动态分析各有优缺点,发挥互补优势的动静态聚合的综合分析方法。

方法1: 通过静态分析得到的程序信息 可以有效的减少动态分析的探针数量。

方法2:动态分析提供的程序运行时信息,可以让静态分析不需要考虑程序所有的可能情况,大大提升静态分析速度和准确性。

观点3:有效动静态聚合漏洞处理体系应该在各工具之间打通,做到数据互通,算法互联,界面统一。

五、 总结

1- 程序分析技术将漏洞管理工作拓展到软件开发阶段,实现了安全左移的效果,使得网络安全体系更系统更完善。

2- 程序分析技术分为动态分析和静态分析两个方向,未来两个方向将走向聚合,协同工作。也必将会逐步与其他网络安全技术走向融合协作。

# 安全漏洞 # 静态代码安全 # 漏洞治理 # 程序分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录