密码学误用(crypto misuse)的安全检测是安全研究中一项长期受到关注的研究工作,然而最近有一篇研究论文却发表了一种观点,即当前主流的一些代码扫描工具中提供的自动化密码学误用分析引擎的有效性并不令人满意。
作者之所以得出上述结论,是因为他们发现,有些密码学误用检测引擎,连最基础的问题都无法发现,例如下面这个例子:
在调研过程中,作者发现像Coverity这种高度商业化的引擎和由Linkedin驱动开发的QARK,连这个可能是最简单的问题都无法检出。为了全面系统地评估当前的密码学误用检测引擎的有效性,作者研发了一套名为MASC的测试框架,MASC使用的测试用例变换技术可以生成上千种不同的密码学误用测试用例,作者用这些生成的用例测试了当前常用的9种密码学误用检测引擎,发现了19类能够让这些引擎失效的问题。
本论文有一个很有意思的内容,即作者做了一张类似cheat sheet一样的小抄,上面对密码学误用进行了分类(taxonomy)。作者统计调研了1999年之后在安全和软件工程顶级学术会议上发表的相关文献,也对ACM、IEEE数据库和Google学术搜索引擎中相关论文进行了关键字检索。最后一共确定了105类误用的实例。
基于总结的实例,作者的MASC框架对密码学API在实际使用中的具体情况进行变异,产生了大量的不同的生成测试用例,然后将这些用例送入到常见的误用检测引擎中去,测试引擎是否能有效发现这些问题。
作者测试了CryptoGuard、CogniCrypt、SpotBugs、Xanitizer、Coverity、QARK、ShiftLeft、Github Code Security和LGTM共9个检测引擎,检测的结果如下表
作者将导致引擎失效的原因总结为5大类19项,在论文中进行了详细的讨论,这对于代码安全问题检测工具的开发人员来说是非常好的总结!
论文PDF:
https://arxiv.org/pdf/2107.07065.pdf
测试数据集和代码:
https://anonymous.4open.science/r/2f72496c-7afd-44a2-aa4d-b8b98e915215/
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-07-23
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论