最新

我们最初的目标是解决在自有项目中，由传统安全扫描器导致的复杂调试难题和无用警报。静态分析（SAST）会标记出太多噪音，因为它无法验证运行时上下文，而动态分析（DAST）则会遗漏内部逻辑错误，因为它将应用程序视为一个黑盒。 我们构建了一个命令行工具，通过红队方法使用灰盒测试来弥合这一差距。我们利用对代码库的内部知识来指导并行执行，从而能够发现标准代码检查器/扫描器遗漏的复杂或隐藏的逻辑错误和攻击路径。 技术（灰盒图绘制与执行）： - 内部图绘制（地图）：它摄取代码库，构建内部逻辑的依赖关系图。 - 并行执行（测试）：然后在并行引擎上测试代码。我们启动本地开发环境的副本，以数千种方式演练代码库。这是证明错误真实性的验证。 - 逻辑错误检测：因为它理解预期的架构（图）并看到实际行为（执行），我们可以标记逻辑错误（例如，竞态条件、状态不一致、内存泄漏等）。 - 污点流映射：我们在依赖关系图上映射污点控制流。这准确地突出了外部输入如何通过您的逻辑来触发漏洞。然后，它会启动一个本地实例来重放此流程并确认漏洞利用。 运行方式：它通过 CLI 在本地运行，以通过安全存储库和易用性来维护隐私。通过 MD 报告生成修复建议，精确指出错误行和下游影响。 权衡：这种方法用深度测试换取速度和强大功能。此测试引擎推荐用于更复杂的系统。 试用：我们目前正在为早期用户开放我们的 Beta VS 扩展。 针对以下内容进行了优化（Rust、C++、Go、Java）和 IaC（Terraform、Docker、K8s）。也支持 Python、TS/JS、C#、PHP 和（20 多种其他语言）。 附注：我们很乐意在存储库上亲自运行此程序。如果您维护一个复杂的项目，并想看看我们的引擎是否能找到逻辑或安全漏洞，请留下链接或通过评论/网站联系我们，我们将进行测试并发送结果。