腾讯 开发安全产品介绍.pdf

《腾讯 开发安全产品介绍.pdf》由会员分享，可在线阅读，更多相关《腾讯 开发安全产品介绍.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、腾讯开发安全产品介绍Xcheck静态应用检测系统+BSCA二进制软件成分分析腾讯开发安全高级产品经理主讲人：刘天勇目录content 应用开发安全背景分析 Xcheck静态应用检测系统介绍 BSCA二进制软件成分分析系统介绍现代应用安全的风险来源分析1、自研代码一定有未被发现的缺陷“缺陷是天生的，漏洞是必然的”。统计数据表明，程序员每写1000行代码，就会出现1个逻辑性缺陷。2、现代应用都是组装的而非纯自研78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，开源组件的引入会带来潜在的软件供应链安全风险开源软件许可证违规Web通用漏洞SQL注入、命令执行、XXE、XSS等O

2、WASP TOP10合规需求、安全配置未能满足安全合规、未建立安全基线、敏感数据泄漏自研代码开源组件应用组成成分开源组件安全漏洞CNNVD、CNVD、CVE等第三方库漏洞发现GPL等强传染性开源许可证协议，商业化使用、分发需要对外开放全部源码腾讯开发安全新品发布，全面覆盖源代码和开源组件风险merge编译分支源代码源代码发布部署持续交付测试集成化制品主机产品非主机产品软件资产管理安全测试各类二进制数据软件包软件制品包源代码二进制构建物开发测试过程开发测试产物静态应用安全检测是直接对源代码进行检查的白盒检测技术。可直接对接代码仓库，自动化分析静态源代码中安全风险安全测试工具二进制软件成分分析是对

3、编译产物二进制文件进行检查的黑盒检测技术。通过识别相关开源组件，自动化分析漏洞、许可等软件供应链安全风险腾讯Xcheck静态应用安全检测系统腾讯BSCA二进制软件成分分析工具设计开发测试发布X6.5X15X60100在软件应用生命周期中，修复漏洞的成本随着发现漏洞阶段的进程呈几何级数增长。传统的漏洞检测方法通常只能在业务系统开发完成后才能介入，这导致漏洞的修复成本高昂。甚至很多漏洞在安全事件发生后，才会被发现及修正。开发安全价值：实现安全左移，安全接入越早，漏洞修复成本越低腾讯Xcheck静态应用检测系统腾讯Xcheck产品定位：为DevOps场景而生的新一代SAST工具瀑布式开发敏捷开发De

4、vOps开发安全团队独立使用的审计平台开发模式演进产品定位变化开发团队使用，安全团队维护的CI插件工具现有产品难以匹配腾讯自研自用，DevOps场景全面替换市面上白盒产品对开发不友好，存在速度慢误报高的通病速度慢：扫描速度在几十分钟到数小时，无法适应快速迭代的DevOps开发模式，严重影响流水线自动化效率误报高：检测报告动辄上百个风险，误报过高，需消耗大量精力去处理，无法作为自动化质量门禁红线腾讯Xcheck产品架构：双引擎架构，满足不同场景需求污点追踪引擎规则匹配引擎支持语言种类覆盖风险类型产品定位依托强大的规则库，在技术原理和检测范围上能够对标业界主流白盒产品拥有灵活的拓展能力，便于用户自

5、定义运营规则主要覆盖5种Web后台语言：JAVA/GO/PHP/JavaScript/Python业界独家的创新检测引擎，Xcheck核心竞争力，专注挖掘高危漏洞速度快，误报低，非常适合在DevOps流水线场景集成使用20余种场景的开发语言，覆盖绝大多数应用符合污点传播模型的安全风险，如：SQL注入、命令注入、Xpat注入、路径穿越、命令注入、XSS，XXE、反序列化、SSRF等除污点传播类漏洞外，还可支持错误配置类、硬编码类、敏感信息泄露类等多种安全风险类型腾讯Xcheck：技术创新及核心优势2产品核心优势1全新检测原理：语义解析+污点追踪语义解析：Xcheck拥有一套自研的代码分析模糊解析

6、器，无需依赖编译，可以将代码快速转换成抽象语法树，相比同类产品，解析的速度实现了大幅度的提升污点追踪：Xcheck会在抽象语法树的基础上，设计精细化的模型，进行模拟执行和污点分析，准确的找到污点的传播路径。核心检测算法经过了腾讯内部每年数百万次任务的打磨，检出率和误报率能保证在较高的水平核心优势核心技术效果扫描速度快纯自研语义分析算法无需编译，精确识别各种语言特性扫描速度每秒2千行以上，是同类产品的几十倍检测误报低海量任务打磨的精细化的模型设计精确识别风险类型污点不会被放大或消失。低误报低漏报，整体误报率低于10%，可直接用作流水线质量门禁资源占用小容器化部署，服务端的各个组件均支持水平伸缩单