每次看到有人推荐软件安全分析工具,你会不会马上去下载使用呢?不过在下载之后,有多少次是遇到了问题又不知道怎么解决,甚至无法编译/运行?而这些工具背后,又有几个能提供良好的中文化和友好的社区支持?
对于今天推荐的工具,这些都不是问题。由 G.O.S.S.I.P 成员创立的蜚语安全 (https://feysh.com),本周将旗下产品核心产品——Corax 代码安全分析平台中针对 Java 代码的部分 CoraxJava 开放下载,可以在 GitHub 上获取:
https://github.com/Feysh-Group/corax-community
作为一款静态安全分析(Static Application Security Testing,SAST)工具,CoraxJava 针对Java项目,提供了强大的静态代码安全分析能力,其核心分析引擎与 Corax 商业版一致,也就是说,它具备与 Corax商业版一致的底层代码分析能力,并在此基础上配套了专用的开源规则检查器与规则。
本次开放的 CoraxJava 由两部分组成,分别是核心分析引擎和规则检查器。其中规则检查器模块支持实现多种规则的检查。目前 CoraxJava 包含了抽象解释和 IFDS(Sparse)等程序分析技术。CoraxJava 具有以下特点:
- 完全开放的规则检查器模块,开源多个规则检查器代码示例。
- 支持使用Kotlin/Java语言开发自定义规则检查器。
- 支持通过配置文件或编写代码的方式修改、生成规则检查器。
- 分析对象为Java字节码,但需要源代码作为结果显示的参考和依据
- 分析结果以sarif格式输出。
注意:目前
CoraxJava核心分析引擎不开源,需要下载引擎的jar包(corax-cli-x.x.x.jar)配合规则检查器使用。GitHub的代码仓库中存储了CoraxJava自定义规则检查器模块,其中包含多个开源规则检查器的代码实现。
想要使用 CoraxJava,只需要参考 GitHub 上的编译使用说明,就能够很快上手了,还等什么呢,赶紧去 git clone 一个吧!而且 CoraxJava 的 License 非常友好,大家可以在任何的场景下(包括在企业内部)使用。而且 CoraxJava 会保持和 Corax 商业版同步更新,你可以不断获得更强的功能哟。
下面我们来看一个例子,在这个例子中,使用 CoraxJava 的默认规则集,对常用的 Java 靶场 webgoat 进行了分析。我们只需要指定包含源码和构建产物的目录,CoraxJava 会自动进行分析。分析完毕后,可以直接在 VSCODE 中使用 SARIF Viewer 插件,直接载入结果文件,VSCODE 会基于分析结果,自动在源码上标注存在漏洞的代码和相关的调用路径。
作为一个国产的安全分析工具,蜚语安全提供了全面又友好的沟通渠道,欢迎通过以下方式提交 bug 和需求:
- 通过 GitHub issue
- 发送邮件至 bug [at] feysh.com
下载:
https://github.com/Feysh-Group/corax-community
原文始发于微信公众号(安全研究GoSSIP):【周末推荐】Java 代码静态安全分析工具–CoraxJava
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论