Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1707415
  • 博文数量: 607
  • 博客积分: 10031
  • 博客等级: 上将
  • 技术积分: 6633
  • 用 户 组: 普通用户
  • 注册时间: 2006-03-30 17:41
文章分类

全部博文(607)

文章存档

2011年(2)

2010年(15)

2009年(58)

2008年(172)

2007年(211)

2006年(149)

我的朋友

分类: LINUX

2006-09-19 13:23:19


developerWorks 中国  >  Linux | Open source  >

使用 BogoSec 分析软件安全性

一种用来查找源代码中安全性漏洞的工具

developerWorks
文档选项

未显示需要 JavaScript 的文档选项

将此页作为电子邮件发送

将此页作为电子邮件发送


最新推荐

Java 应用开发源动力 - 下载免费软件,快速启动开发


级别: 中级

Dustin Kirkland (), 软件工程师, IBM
Loulwa Salem (), 软件工程师, IBM

2006 年 7 月 10 日

BogoSec 是一个源代码评测工具,它封装了很多源代码扫描程序,会对目标代码调用这些程序,并得到一个最终分数,从而近似地反映代码的安全质量。本文讨论了 BogoSec 所采用的方法和实现,并给出了对很多测试用例运行 BogoSec 的结果,包括 Apache Web server、OpenSSH、Sendmail、Perl 等。

CERT Coordination Center(CERT/CC)在 2005 年报告了 5,990 个漏洞,而在 1995 年,只报告了 171 个。很多的软件安全性漏洞都是由于编程习惯不好而产生的。有些漏洞可以使用专门为识别潜在安全性问题而设计的静态源代码扫描程序通过算法分析而检测出来。 随着每行代码中可能存在安全漏洞的代码的数量和严重程度的增加,我们有理由相信源代码在安全性方面的总体质量正在降低。BogoSec 的测试结果就是一些计算出来的数值,它们试图反映对源代码安全质量的相关评价,从而可以将这些结果进行比较分析。

BogoSec 的动机是让开发人员可以随着时间的推移而不断编写出更加安全的源代码。其中有很多扫描程序,它们可以向开发人员指出代码中可能不安全的地方;不过开发人员 通常都不会主动使用这些扫描程序,因为它们有时会输出一些错误的报告,并且使用起来也有一些困难。BogoSec 试图减少误报的情况,并通过使用多个独立的扫描程序来扩展对源代码进行扫描的范围。这样可以生成高级的评测结果,让开发人员和用户可以从安全性的角度对源 代码的质量进行比较判断。






回页首


描述名字大小下载方法
Article in PDF formatl-bogosec.pdf662KB
关于下载方法的信息




回页首


  • 您可以参阅本文在 developerWorks 全球站点上的 英文原文




回页首



Dustin Kirkland 是 IBM 位于德州奥斯汀的 Linux Technology Center 的一位软件架构师,同时也是一位重要的发明家。在过去几年中,他作为一名安全软件工程师参与开发了静态源代码分析工具,旨在判断和修正开放源代码中可能存 在的漏洞。



Loulwa Salem 是 IBM Linux Technology Center 的一名软件工程师。她是安全团队的一员,目前从事使用 Labeled Security Protection Profile(LSPP)对 EAL4 进行 Common Criteria 认证方面的工作。她还在从事源代码漏洞评估和修复方面的工作。在这之前,Loulwa 曾经参与过 SLES9 和 RHEL4 CAPP/EAL4 认证方面的工作。

阅读(604) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~