卢启良-基于机器学习的静态代码扫描结果误报调优实现（19页）.pdf

1、ConfidentialConfidential基于机器学习的基于机器学习的静态代码扫描结果误报调优实现静态代码扫描结果误报调优实现卢启良卢启良大中华区高级安全顾问大中华区高级安全顾问HCLHCL软件软件ConfidentialHCLHCL介绍介绍全球领先的科技公司科技公司营业额快速增长，达100100亿美元亿美元150,000150,000多名员工，多名员工，来来5050个国家个国家与企业紧密合作，推动创新创新落地HCL 成立于19761976年年，是现代计算的先行者。在诸多方面首屈一指，包括1978年先于全球同行引入8位微处理器。如今，HCL业务包括技术、医疗和人才管理解决方案等，旗下拥有

2、 HCL Infosystems（信息系统）,HCL HCL TechnologiesTechnologies（科技（科技）和 HCL Healthcare（医疗）三家公司。Confidential2016-182016-182019201920202020HCL Software的新产品发布的新产品发布与IBM签署了为期为期1515年的年的 知识产权合作协议知识产权合作协议推出HCLHCL软件，软件，经营HCL的企业级软件产品业务关于关于HCLHCL软件软件Confidential客户体验客户体验有效影响客户体验之旅有效影响客户体验之旅数字数字化化解决方案解决方案企业数字企业数字化转型化转型

3、和生产和生产力提升力提升安全的安全的DevOpsDevOps由深度安全和价值流管理支持的由深度安全和价值流管理支持的DevOpsDevOps安全安全性性和自动化和自动化安全的自动化和统一的安全的自动化和统一的终端终端管理管理HCLHCL软件产品组合软件产品组合SoFySoFy 云原生平台和Solution FactoryDXDX 活动 发现 交互 交付 计划 洞察 优化 商务 旅程 Domino 平台 Notes,Verse Connections Sametime Mainframe Host AccessHCL HCL VoltVoltVolt MXVolt MX OneTest Velo

4、city(Accelerate)uDeploy(Launch)Flexiem(Version Vault),Traxiem(Compass)PowershipAppScanAppScan 生命周期 合规性 补丁 存货 自动化平台组件和工具平台组件和工具HCL OneDB HCL Link|HCL Clara|HCL HEROConfidentialSAST是一种有效的源代码安全检测方法。但是l SAST通常报告了大量问题，需要花费大量时间进行分类；l SAST很多误报；l 难以消化需要专业技能时间就是金钱，时间就是效率！SASTSAST现状现状Confidential自动分类扫描结果追求“可行

5、的”结果通过概率比重及机器学习，标识“该关注”与“不该关注”的问题重新排序分析后的扫描问题严重程度可自定义的过滤和机器学习训练输入及模型智能结果分析（智能结果分析（IFAIFA）能做什么）能做什么Confidential智能结果分析（智能结果分析（IFAIFA）如何去做）如何去做IFAIFA应用程序初始扫描结果IFA过滤后结果通过“修复组”执行的修复操作App155,13214,05060App212,4801,05735App3247,3501,271103 阶段1 设置预过滤器已知的噪声组合高噪声比的源/接收器 阶段2-监督学习型机器学习处理27k训练观察3k测试设置为“关注”的猜测添加高

6、，中和低概率。阶段3-重新设定严重性基于AI概率可通过配置进行设定默认为50的概率IFA 基于统计概率并配合机器学习。以三种方式表示安全影响的可能性：要考虑的结果的百分比具有特定严重性的结果的百分比不考虑的结果的百分比Confidential数据流分析（污染分析法）数据流分析（污染分析法）源接收器中间节点配置文件Web/浏览器数据库LDAPWeb/浏览器文件系统数据库Confidential设置预过滤器设置预过滤器很多时候可以在误报检查中看到一致的模式DB-DB调用一些源-接收器组合某些API，源和接收器异常嘈杂（新File（path）默认设置-预过滤机