Обнаружение утечки информации в Find Sec Bugs с помощью анализа заражений и пользовательских аннотаций - PullRequest
Новая
       31

Обнаружение утечки информации в Find Sec Bugs с помощью анализа заражений и пользовательских аннотаций

0 голосов
/ 20 сентября 2018

Позволяет ли Find Sec Bugs определять чувствительные источники и приемники с помощью аннотаций, как другие инструменты статического анализа, такие как Checker Framework?Прямо сейчас я вижу только источники / приемники, определяемые в конфигурационных файлах, например: https://github.com/find-sec-bugs/find-sec-bugs/blob/99814871f33ca0484b975f2fe51bae2bc1bcf40a/plugin/src/main/resources/taint-config/taint-sensitive-data.txt

В Checker Framework есть аннотация @Tainted и @Untainted, которую можно использовать в коде в общем (* 1005)*

Вы также можете создавать собственные аннотации, в документации показано, как их можно применить к случаю утечки информации (

https://checkerframework.org/manual/#subtyping-example)

package myPackage.qual;

import java.lang.annotation.ElementType;
import java.lang.annotation.Target;

/**
 * Denotes that the representation of an object is encrypted.
 */
@SubtypeOf(PossiblyUnencrypted.class)
@ImplicitFor(literal={LiteralKind.NULL})
@DefaultFor({TypeUseLocation.LOWER_BOUND})
@Target({ElementType.TYPE_USE, ElementType.TYPE_PARAMETER})
public @interface Encrypted {}

package myPackage.qual;

import org.checkerframework.framework.qual.DefaultQualifierInHierarchy;
import org.checkerframework.framework.qual.SubtypeOf;
import java.lang.annotation.ElementType;
import java.lang.annotation.Target;

/**
 * Denotes that the representation of an object might not be encrypted.
 */
@DefaultQualifierInHierarchy
@SubtypeOf({})
@Target({ElementType.TYPE_USE, ElementType.TYPE_PARAMETER})
public @interface PossiblyUnencrypted {}

import myPackage.qual.Encrypted;

...

public @Encrypted String encrypt(String text) {
    // ...
}

// Only send encrypted data!
public void sendOverInternet(@Encrypted String msg) {
    // ...
}

void sendText() {
    // ...
    @Encrypted String ciphertext = encrypt(plaintext);
    sendOverInternet(ciphertext);
    // ...
}

void sendPassword() {
    String password = getUserPassword();
    sendOverInternet(password);
}

В результате он выдаст что-то вроде: 

YourProgram.java:42: incompatible types.
found   : @myPackage.qual.PossiblyUnencrypted java.lang.String
required: @myPackage.qual.Encrypted java.lang.String
    sendOverInternet(password);

Что-нибудь похожее в Find Sec Bugs? Спасибо!

...