【GitLab】SAST と Advanced SAST を比べてみた😎

株式会社ウーブ SAST と Advanced SAST を比べてみた😎 山下洋輔 @yokucho GitLab
Meetup Hybrid #2

自己紹介 / トピック山下洋輔 @yokucho EC事業会社の営業、受託開発会社のバックエンドエンジニアを経て現在、株式会社ウーブで色々やるマントピック
SASTとは Advanced SAST のご紹介比べてみた！

社内ツール開発でGitLabのSASTを使っていました

SASTとは？ Static Application Security Testing = 静的実行中のアプリケーションではなく、ソースコードがテストの対象アプリのビルド・デプロイは不要コードコミットごとに実行可能
つまり、早期に・低コストで脆弱性に対応できる

SASTとは？検知できる脆弱性 SQLインジェクションコマンドインジェクションクロスサイトスクリプティング (XSS) パストラバーサルバッファオーバーフロー XML外部エンティティの脆弱性 GitLabでの有効化
templateを1行追加するだけ！

バージョンアップでAdvanced SASTが追加されました 17.1　実験的機能として導入 17.3　一般機能として提供開始サポート言語 C# Go Java JavaScript(TS) Python
Ruby 対応予定 C C++ Kotlin PHP Scala

Advanced SAST、使ってみました SASTのテンプレートに加えて変数を一つ追加するだけ！ Advanced SASTの有効化

Advanced SAST、使ってみました実行時間が長くなったような、、、正直よくわからないジョブ名が advanced に変わった！ analyzerが [GitLab
Advanced SAST] に変わった！

一体、何が違うのか？ Advanced SAST を「Advanced」たらしめるもの： SAST (semgrep) 分析対象単一ファイル・関数が主体 Advanced SAST
複雑な脆弱性検出に限界あり限られたコンテキストにより、偽陽性(false-positive)が発生しやすい精度分析の深さ複数のファイル・関数を俯瞰複数のファイル・関数に及ぶ、複雑な脆弱性の検出が可能真に悪用可能な脆弱性にフォーカス偽陽性(false-positive)が少ないクロスファイル・クロス関数解析

一体、何が違うのか？コードフロー：脆弱性までのフローを視覚化

この機能の背景には... クラウドセキュリティスタートアップの Oxeyeのコードスキャン技術を活用

実際に試してみた実験用のサンプルコード脆弱性：コマンドインジェクション

実際に試してみた関数横断エンドポイントから到達可能エンドポイントから到達不可 ①cross-function-vulnerability ③not-cross-funciton-vulnerablity ファイル横断 ②cross-file-vulnerability ④not-cross-file-vulnerability この2つの関数は偽陽性
エンドポイントから関数を呼び出す

まず、通常のSASTを試してみる全てのos.system()が脆弱性として検知された

SASTの実行結果関数横断エンドポイントから到達可能エンドポイントから到達不可 ①cross-function-vulnerability ③not-cross-funciton-vulnerablity ファイル横断 ②cross-file-vulnerability ④not-cross-file-vulnerability 脆弱性レポートとして検知されてしまう＝偽陽性
⇨semgrep（パターンマッチ）の限界

一方、Advanced SASTはどうか... 偽陽性の脆弱性が消えた！

①cross-function-vulnerability ③not-cross-funciton-vulnerablity ②cross-file-vulnerability ④not-cross-file-vulnerability 一方、Advanced SASTはどうか... 関数横断エンドポイントから到達可能エンドポイントから到達不可ファイル横断
APIエンドポイントから到達可能な実質的な脆弱性に絞られた

コードフローそれぞれの脆弱性のページから、コードフローを確認できる

まとめクロスファイル・クロス関数解析により正確性が向上！偽陽性が減少し、本当に対処すべき脆弱性への対応に集中できる Advanced SAST：

ありがとうございました

【GitLab】SAST と Advanced SAST を比べてみた😎

【GitLab】SAST と Advanced SAST を比べてみた😎

Yosuke Yamashita

Other Decks in Technology

Featured

Transcript

株式会社ウーブ SAST と Advanced SAST を比べてみた😎 山下洋輔 @yokucho GitLab

自己紹介 / トピック山下洋輔 @yokucho EC事業会社の営業、受託開発会社のバックエンドエンジニアを経て現在、株式会社ウーブで色々やるマントピック

社内ツール開発でGitLabのSASTを使っていました

SASTとは？ Static Application Security Testing = 静的実行中のアプリケーションではなく、ソースコードがテストの対象アプリのビルド・デプロイは不要コードコミットごとに実行可能

SASTとは？検知できる脆弱性 SQLインジェクションコマンドインジェクションクロスサイトスクリプティング (XSS) パストラバーサルバッファオーバーフロー XML外部エンティティの脆弱性 GitLabでの有効化

バージョンアップでAdvanced SASTが追加されました 17.1　実験的機能として導入 17.3　一般機能として提供開始サポート言語 C# Go Java JavaScript(TS) Python

Advanced SAST、使ってみました SASTのテンプレートに加えて変数を一つ追加するだけ！ Advanced SASTの有効化

Advanced SAST、使ってみました実行時間が長くなったような、、、正直よくわからないジョブ名が advanced に変わった！ analyzerが [GitLab

一体、何が違うのか？ Advanced SAST を「Advanced」たらしめるもの： SAST (semgrep) 分析対象単一ファイル・関数が主体 Advanced SAST

一体、何が違うのか？コードフロー：脆弱性までのフローを視覚化

この機能の背景には... クラウドセキュリティスタートアップの Oxeyeのコードスキャン技術を活用

実際に試してみた実験用のサンプルコード脆弱性：コマンドインジェクション

実際に試してみた関数横断エンドポイントから到達可能エンドポイントから到達不可 ①cross-function-vulnerability ③not-cross-funciton-vulnerablity ファイル横断 ②cross-file-vulnerability ④not-cross-file-vulnerability この2つの関数は偽陽性

まず、通常のSASTを試してみる全てのos.system()が脆弱性として検知された

一方、Advanced SASTはどうか... 偽陽性の脆弱性が消えた！

①cross-function-vulnerability ③not-cross-funciton-vulnerablity ②cross-file-vulnerability ④not-cross-file-vulnerability 一方、Advanced SASTはどうか... 関数横断エンドポイントから到達可能エンドポイントから到達不可ファイル横断

コードフローそれぞれの脆弱性のページから、コードフローを確認できる

まとめクロスファイル・クロス関数解析により正確性が向上！偽陽性が減少し、本当に対処すべき脆弱性への対応に集中できる Advanced SAST：

ありがとうございました