RSAC2019创新沙盒大赛公司shiftleft介绍

概念：

本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置，测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。ShiftLeft这家公司于17年创建，19年2月份获得B轮2000万美元融资，自称是应用云安全领域的创新者，提出了全自动的安全即服务（SECaas）的解决方案。联合创始人是FireEye的首席产品和战略官。

安全DNA

是指对每个应用程序每个版本的源代码进行分析并提取安全相关的详细信息，包括漏洞，敏感数据，策略信息和编码错误。采集安全dna的目的是兼顾迭代阶段，方便为agent创建策略，解决通用方案的不足。

产品

• 针对代码审计和漏洞研究安全人员的Ocular产品：

该产品的前身是c++类的https://github.com/octopus-platform/joern，一改以往搜索漏洞需要手工查找的局面，创新针对代码属性视图Code Property Graph (CPG)的设计查询语言（Read-Eval-Print-Loop（REPL），支持控制流分析、语法树、调用关系、依赖，目录接口、框架类（内置了自动标记框架的策略）的分析，支持自定义查询语句和集成到CI，输出支持各种报文的结果，支持语言有java、c#和c、c++。曾经发现时linux内核的oday和jackson-databind反序列化漏洞（CVE-2017–7525）。整体类似semmle公司的ql技术。

使用：

1. 笔者准备了一项spring框架编写的漏洞测试用例，controller分别存在不同的漏洞用来检测误报、漏报。安装后启动分析，将目标代码提取生成CPG信息。可以配置过滤掉公共和开源组件代码。

1. 进入到主界面，准备执行查询语言：

1. load刚才生成的cpg文件。

1. 使用cpg.dependency.name.l命令查看依赖关系，不同于直接解析pom.xml文件，基于实际代码关系的分析可以发现项目依赖的深层次关系。

1. 支持通过./cpg2sp.sh --cpg vlu.bin.zip -o javavulnerablelab.sp命令通过自建的策略自动查找发现漏洞。
2. 查询代码里的入参。

1. 测试下污点分析技术。定义污染源为全部的入参。定义污点为调用url的方法。查看是否可达。

1. 也可以使用如下命令审计反序列化漏洞。

val sinkMethods = cpg.method.or( _.fullName(".*(XMLdecoder|ObjectInputStream).*readObject.*"), _.fullName(".*XStream.*fromXML.*"), _.fullName(".*readObjectNodData|readResolve|readExternal.*"), _.fullName(".*ObjectInputStream.*readUnshared.*")) sinkMethods.calledBy(cpg.method).newCallChain.p

其他的利用请参考https://docs.shiftleft.io/ocular/tutorials/cve-2018-19859

• 适用于应用分析和运行阶段的ShiftLeft Inspect and Protect产品：

该产品可以理解为支持Java和C＃的弱白盒+强云端Rasp。优点为充分利用了持续集成的能力。

可以看到漏洞信息可以在两个时间产出：第一阶段在分析时，上传编译好的代码在云端，分析源代码或者字节码得到CPG，获取初步白盒审计结果、页面路由、代码内敏感信息；第二阶段是通过javaagent的方式启动java应用程序，通过支持原生、微服务、云环境、容器、虚拟机的微代理获取运行时数据和指标推送到代理服务器。通过dashboard进行结果展示、流程闭环。

使用

1. 如上图所示安装好后配置环境变量，使用sl run建立名为HelloShiftLeft的app。工具首次运行下载 ShiftLeft JVM Analyzer Plugin。
2. 第一阶段为分析编译好的war包。 通过go程序上传war包。产生中间文件上传、诊断。

1. 下一步是获取云端代码分析得出的结果，创建了一个名为Run Profile for Runtime（SPR）的自定义工具，并将其加载到与应用程序一起运行的微代理上，以微代理的方式启动。

1. 看下源代码的启动方式，一目了然的rasp。

1. 可惜这种方式会对系统性能和兼容性有影响。jenkins挂了（是jdk的原因吗？不过不影响程序获取源码分析、启动阶段的漏洞信息）。

1. 更换一个较为简单的web程序顺利启动。
2. 分析完后dashboard可以看到结果信息。简介页面包括提取的应用内部的url包括filter接口的实现类、servlet和RequestMapping。可以看到源代码扫描审计的结果标记区分了code和runtime阶段所发现的。（笔者使用的是最新版的jenkins编译，看到的结果可能都是误报...）。此外还有各种数据方面的认证信息、PII数据、反序列化数据、环境信息、文件读写类、http信息、输入、日志、输出、重定向、session、缓存。

漏洞简述页包括级别、类型、调用次数、状态。

1. 详情页显示漏洞描述、代码所在行数、输入数据、运行时调用次数、数据流向调用关系（这里用DOT和graphviz表示更好些）。

综述

这套产品适用于CI / CD流程并经常发布的创新公司。该产品的目标市场包括技术，银行和医疗保健。也适用于将工作上云的传统企业。真正将源代码分析结果和RASP结合起来效果还是不错的,在持续集成阶段就可以发现安全风险。另外在越权类漏洞的检测上其实也是大有用武之地的。