Процесс безопасной разработки
Узнать большеДля обеспечения безопасности программных продуктов, поиска уязвимостей и недекларированных возможностей ПО используются специальные анализаторы. Они упрощают анализ кода, но в процессе могут происходить ложноположительные срабатывания — False Positive. В статье рассказываем, когда и почему они возникают, как снизить их процент.
Что такое True Positive и False Positive в контексте анализа кода ПО
True Positive и False Positive — типы срабатываний инструментов, используемых для проверки безопасности программного обеспечения. Рассказываем, чем они отличаются.
Истинноположительные срабатывания или True Positive — корректное срабатывание анализатора. В процессе тестирования ПО инструмент выдает сигналы об ошибках в программном коде, уязвимостях, некорректной работе функций и т.д. Как правило, анализатор сообщает, где именно обнаружены проблемы. Задача команды разработки — устранить слабые места до релиза ПО. Если этого не произойдет, на рынок выйдут программные продукты с уязвимостями, что повышает риски хакерских атак.
Ложноположительное срабатывание статического анализатора кода или False Positive — это сообщение о проблеме, которой по факту нет. Проверять такие сигналы все равно нужно, поскольку неизвестно, что они ошибочные. Команде проекта приходится впустую тратить ресурсы на проверку, из-за чего может быть пропущена часть реальных уязвимостей.
Риски и проблемы, связанные с False Positive
Ключевые проблемы из-за ложноположительных срабатываний анализатора:
- Риск упустить реально существующие проблемы из-за проверок ложных срабатываний.
- Лишняя нагрузка на команду разработчиков и секьюрити-инженеров.
- Увеличение временных затрат на разработку и выпуск ПО.
Эти проблемы становятся ощутимее, если False Positive происходят часто. К тому же, из-за постоянных ложных тревог разработчики могут предвзято относиться к отчетам анализатора и идентифицировать все неоднозначные срабатывания как ошибочные. Это часто приводит к тому, что команда в случае не очень понятных предупреждений пренебрегает проверкой. Хотя на самом деле анализатор мог обнаружить неприметную на первый взгляд ошибку в коде. В результате уязвимость остается неустраненной.
Ложноположительные срабатывания статического анализатора кода
Начнем с описания статического анализа. Это тестирование Static Application Security Testing (SAST), позволяющее проверять программный код или его отдельные фрагменты, не запуская приложение в рабочей среде. Его можно внедрять уже с первых этапов разработки. Такой анализ позволяет практически на 100% покрывать программный код, исследовать на уязвимости и наличие недекларированных возможностей разрабатываемые приложения, программы от сторонних разработчиков, наследуемое ПО.
SAST лучше выполнять с помощью автоматических анализаторов, которые могут выдавать False Positive. Выглядит это так: в отчетах инструмента подсвечиваются проблемные (или псевдопроблемные) участки с рекомендациями по устранению ошибок кода и уязвимостей. Выявленным уязвимостям присваивается степень критичности — от низкой до очень высокой. Таким образом, разработчики видят, какие слабые места необходимо устранять в первую очередь.
Основные причины False Positive и практические рекомендации по снижению количества ложноположительных срабатываний статического анализатора кода
Если не брать во внимание ошибки разработчиков инструментов для анализа кода, то причины False Positive могут быть следующими:
- Неправильно интерпретированные шаблоны и закономерности.
- Погрешности при анализе сложных систем и унаследованных кодов.
- Влияние внешних факторов, таких, как используемые библиотеки и зависимости.
Полностью устранить False Positive не получится, но можно существенно сократить их количество. Рекомендации:
- Использование высококачественных инструментов и технологий анализа.
- Настройка инструментов анализа кода под специфические нужды команды разработчиков.
- Постоянные обновления анализатора, проверка используемых библиотек и зависимостей.
При выборе анализатора следует учитывать репутацию решения. Многие пользователи делятся опытом, выдавая в отзывах процент True Positive и False Positive. Если анализатор часто грешит ложными срабатываниями, его использование не будет оправдано, даже если остальные характеристики на высоком уровне.
Как решается проблема False Positive в анализаторе Solar appScreener
Solar appScreener — инструмент для комплексной безопасности разработки приложений. С помощью анализатора можно выполнять различные виды анализа кода, в том числе и статический. Чтобы решить проблему False Positive, в Solar appScreener реализована уникальная технология Fuzzy Logic Engine, которая позволяет свести к минимуму количество ложных тревог.
Стоит понимать, что полностью устранить False Positive при проведении SAST-анализа невозможно, несмотря на все прикладываемые разработчиками усилия. Чтобы не пропустить реальные уязвимости из-за ложных срабатываний, следует внедрить в цикл разработки ПО и другие виды тестирований:
- Dynamic Application Security Testing (DAST) — динамическое тестирование программного обеспечения методом имитации атак и различных пользовательских действий. Для реализации такого анализа необходимо развернуть программу в имитированной рабочей среде.
- Supply Chain Security (SCS) — анализ каждого звена цепочки поставок, под которой понимают путь ПО с начала разработки до эксплуатации конечным потребителем. Анализатор выставляет оценки доверия, иллюстрирующие степень возможных рисков.
- Software Composition Analysis (SCA) — выявление Open Source-компонентов ПО и проверка их на уязвимости. Также в рамках такого тестирования оцениваются лицензионные риски, связанные с заимствованными компонентами.
Все эти виды тестирований можно реализовать с помощью Solar appScreener. В нем есть модули SAST и DAST, OSA, выполняющие проверку сторонних компонентов, анализ цепочки поставок и лицензионных рисков. Использование анализатора позволяет реализовать комплексный подход к обеспечению безопасности ПО и выпустить максимально защищенный качественный продукт.
