安全编码标准：使用 SAST 实施安全编码实践-控件新闻-慧都网

安全编码标准：使用 SAST 实施安全编码实践

翻译|行业资讯|编辑：李显亮|2021-09-07 10:21:34.097|阅读 202 次

概述：当开发团队使用安全编码标准来开发软件时，结果是更少的安全错误和更好的质量，从而为开发人员和用户带来更强大的体验。在此博客中，我们将介绍安全编码标准的基础知识以及如何以及何时使用它们。

安全编码的工作原理

安全编码意味着开发人员应用他们在源代码中实施的一套编码标准或安全编码指南，以防止和减轻经常导致网络攻击的常见漏洞。在代码中实施安全编码实践是第一道防线，可防止不良行为者利用软件，并消除攻击者经常以恶意软件为目标的攻击面。当组织虔诚地坚持安全编码最佳实践时，他们可以降低维护软件的成本，开发人员可以花更多时间进行创新，而不是花时间修复错误。

安全编码实践可确保在代码中实施安全控制，以减少由于代码开发不良而可能出现的安全问题。组织必须将安全编码实践正式化，以便为开发人员应如何编写代码建立一套最低限度的软件安全标准，组织可以使用自动静态分析或静态应用程序安全测试 (SAST)工具强制执行和验证这些标准。这些工具使用规则和检查器来分析源代码的语法违规、未定义变量、代码质量、编码和安全违规以及编程错误（仅举几例）。

Parasoft 静态分析工具在规则和检查器中采用安全编码标准，如CERT编码标准、OWASP Top 10（OWASP 安全编码指南的一部分）、MITRE 通用弱点枚举 ( CWE ) 和DISA 应用程序安全和开发 STIGS。

编码标准名称	维护者	目的总结
CERT（计算机应急响应小组）	CERT 协调中心	帮助开发人员在编码和实现过程中避免错误以及检测设计中的低级错误的指南。
OWASP 前十	OWASP（开放式 Web 应用程序安全项目）基金会	Web 应用程序和软件开发人员使用这些标准来识别和修复 Web 应用程序中的高安全风险。
CWE（常见弱点枚举）	社区开发和维护。	这是一个分类系统，帮助开发人员识别软件中的漏洞和弱点，并帮助他们了解软件缺陷。开发人员还使用该系统开发工具来修复和防止缺陷。
DISA 应用安全与开发 STIGS	国防信息系统局 (DISA) 和美国国防部的部门。	帮助管理人员、设计人员、开发人员和系统管理员开发和维护应用程序和应用程序开发中的安全控制。

静态应用程序安全测试 (SAST) 如何帮助开发人员改进编码实践

软件开发人员使用 SAST（静态应用程序安全测试）执行自动化测试来分析源代码，而无需执行或运行代码。目标是识别可能暴露软件漏洞的编码违规和弱点。SAST 被认为是一种“白盒”测试方法，因为它可以访问记录设计、框架以及系统和/或应用程序实现方式的源代码。

SAST 使用源代码中记录的详细信息及其代码结构来确保遵守安全编码标准和指南。SAST 使用规则和检查器来强制和验证合规性，以及查明开发人员编码实践中的编码违规行为。开发团队可以在开发过程开始时使用不同的安全编码标准和指南，如 CERT 安全编码标准和 CWE，以确保软件满足某些质量和安全要求。

应该指出的是，高性能和成熟的软件开发组织使用这些标准和实践来为开发团队定制安全策略和治理。许多组织添加了可用于开发人员培训和意识的补充指南。OWASP Top 10和七个有害王国在提高人们对编码实践中可能出错的事情的认识方面发挥了关键作用。

由于 SAST 不需要运行软件来执行分析，因此开发人员可以在他们现有的开发工作流程中无缝实施它以实时分析代码，立即标记编码规则和检查器触发的任何编码违规。结果是在开发人员的工作流程中发现关键的质量和安全问题，其中修复和补救安全问题的成本最低。这会产生具有更少安全问题或漏洞的更高质量的软件，使组织能够在加速软件部署和交付方面获得信心。

在将 SAST 集成到开发人员的工作流程中有助于开发人员对他们的编码违规进行分类的同时，SAST 还可以无缝集成到自动化管道中，以在软件发布到生产环境之前分析代码提交。每次提交都可以自动触发来自 SAST 工具的扫描。

Parasoft SAST 工具利用 AI/ML 进行增量扫描，仅分析作为该提交的一部分更改的代码。这可以更有效地使用 SAST，并为开发组织提供扫描的历史视图。CI/CD 流程中的 SAST 集成是在集成期间和最终交付之前创建高质量、可靠、安全代码的重要组成部分。它满足持续软件保证的概念，其中软件保证实践被自动化到开发活动中，以确保软件部署和交付的速度。