傳統(tǒng)用CodeQL進行漏洞挖掘,生成的結果誤報較多,影響效率;那么,如果融入ChatGPT和RASP呢?

3月21日,由Informa Markets主辦的2023 INSEC WORLD 世界信息安全大會以“聚焦安全 打造多元新格局“為主題,在西安國際會展中心會議樓拉開帷幕。作為一次匯聚各界意見領袖和技術專家的行業(yè)開年盛會,大會邀請到逾50位海內外優(yōu)秀行業(yè)大咖分享安全實踐經(jīng)驗及最新技術。

深信服創(chuàng)新研究院技術專家高勇杰受邀在「漏洞與攻防安全」分論壇中的進行演講,分享議題《CodeQL漏洞挖掘之旅》。議題詳細講解CodeQL使用思路,以及一個區(qū)別于主流使用的利用CodeQL進行半自動化挖掘漏洞的方式。結合當下熱門的chatGPT工具,分享了在CodeQL的使用和工作方式的新感悟,可以有效提升漏洞挖掘效率。

區(qū)別于主流使用CodeQL的漏洞挖掘方式

在演講中,高勇杰使用SecExample開源靶場進行實際案例的演示,講解不將CodeQL作為掃描工具使用,而是利用CodeQL的分析能力,協(xié)助進行代碼審計,盡可能的減少在代碼審計時的工作量。

CodeQL+ChatGPT+RASP,實現(xiàn)高效自動化

高勇杰總結道,CodeQL目前還存在著一些缺陷,例如QL規(guī)則需要不斷迭代、掃描結果存在誤報等等,僅使用CodeQL也無法完成完整的代碼審計流程閉環(huán)等問題。

針對以上問題,高勇杰也分享了一套借助ChatGPT與RASP技術的全自動化漏洞挖掘方式,不僅可解決QL規(guī)則的迭代、掃描規(guī)則誤報問題,且完成了代碼審計流程的閉環(huán)。

CodeQL做初步審計,提取關鍵代碼塊后交由ChatGPT驗證,并基于RASP技術避免了POC生成不穩(wěn)定對結果的影響,使結果更加穩(wěn)定、可靠。最終實現(xiàn)高效、精準的漏洞挖掘。

深信服千里目安全技術中心-創(chuàng)新研究院一直致力于安全和云計算領域的核心技術前沿研究,推動技術創(chuàng)新變革與落地,擁有安全和云計算領域500+ 專利,實現(xiàn)攻擊和檢測技術的相互賦能,并及時把能力輸入到業(yè)務線中,實現(xiàn)自身產品的迭代優(yōu)化。未來,深信服千里目安全技術中心也將不斷提高專業(yè)技術造詣,深度洞察網(wǎng)絡安全威脅,持續(xù)為網(wǎng)絡安全賦能。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）