概念:
本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置,测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。ShiftLeft这家公司于17年创建,19年2月份获得B轮2000万美元融资,自称是应用云安全领域的创新者,提出了全自动的安全即服务(SECaas)的解决方案。联合创始人是FireEye的首席产品和战略官。
安全DNA
是指对每个应用程序每个版本的源代码进行分析并提取安全相关的详细信息,包括漏洞,敏感数据,策略信息和编码错误。采集安全dna的目的是兼顾迭代阶段,方便为agent创建策略,解决通用方案的不足。
产品
该产品的前身是c++类的https://github.com/octopus-platform/joern,一改以往搜索漏洞需要手工查找的局面,创新针对代码属性视图Code Property Graph (CPG)的设计查询语言(Read-Eval-Print-Loop(REPL),支持控制流分析、语法树、调用关系、依赖,目录接口、框架类(内置了自动标记框架的策略)的分析,支持自定义查询语句和集成到CI,输出支持各种报文的结果,支持语言有java、c#和c、c++。曾经发现时linux内核的oday和jackson-databind反序列化漏洞(CVE-2017–7525)。整体类似semmle公司的ql技术。
使用:
val sinkMethods = cpg.method.or( _.fullName(".*(XMLdecoder|ObjectInputStream).*readObject.*"), _.fullName(".*XStream.*fromXML.*"), _.fullName(".*readObjectNodData|readResolve|readExternal.*"), _.fullName(".*ObjectInputStream.*readUnshared.*")) sinkMethods.calledBy(cpg.method).newCallChain.p
其他的利用请参考https://docs.shiftleft.io/ocular/tutorials/cve-2018-19859
该产品可以理解为支持Java和C#的弱白盒+强云端Rasp。优点为充分利用了持续集成的能力。
可以看到漏洞信息可以在两个时间产出:第一阶段在分析时,上传编译好的代码在云端,分析源代码或者字节码得到CPG,获取初步白盒审计结果、页面路由、代码内敏感信息;第二阶段是通过javaagent的方式启动java应用程序,通过支持原生、微服务、云环境、容器、虚拟机的微代理获取运行时数据和指标推送到代理服务器。通过dashboard进行结果展示、流程闭环。
使用
漏洞简述页包括级别、类型、调用次数、状态。
综述
这套产品适用于CI / CD流程并经常发布的创新公司。该产品的目标市场包括技术,银行和医疗保健。也适用于将工作上云的传统企业。真正将源代码分析结果和RASP结合起来效果还是不错的,在持续集成阶段就可以发现安全风险。另外在越权类漏洞的检测上其实也是大有用武之地的。