什么是代码审计
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
代码审计方式
整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。但整体源代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。
功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。功能点人工源代码审计需要收集系统的设计文档、系统开发说明书等技术资料,以便源代码审计服务人员能够更好的了解系统业务功能。由于人工源代码审计工作量极大,所以需要分析并选择重要的功能点,有针对性的进行人工源代码审计。
./build.sh#需要golang环境# 会生成所有版本在releases下
api:url: "https://api.siliconflow.cn/v1/chat/completions"keys:-"sk-bgrrpkmbbrksvrobipjynezdpnsfuezsmcgwebsslzycwdfh"# https://cloud.siliconflow.cn/i/PE5EFD4U# API池,可以增加多个api,闲鱼买到很多api.settings:# 每次调用ai间隔时间,防止频繁或者封号sleep_seconds: 3model:# 模型名称name: "Qwen/QwQ-32B-Preview"# 这里%s不要动,防止输入错误prompt:text: "请分析以下代码是否存在安全问题:n文件: %sn行号: %dn内容:n%sn当前行:%s,请简明扼要,如果觉得大概率没有漏洞直接回答"大概率没有漏洞"七个汉字。如果有,严格按照一下格式输出:n漏洞类型:n危害等级:n判断理由:n payload:,注意这里的冒号为中文冒号,每行前无空格"
下载
打包好的二进制文件
原文始发于微信公众号(鹏组安全):一款基于轻量级基于AI审计的代码审计扫描器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论