Cobra(眼镜蛇)- 白盒审计静态代码安全扫描与分析系统

0x00 介绍

眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。

0x01 目标用户

1. 互联网企业

互联网公司可以将Cobra部署在企业内,供开发人员使用,用来扫描项目风险. 也可以集成到内部的代码发布系统,让Cobra成为发布系统中的一环,扫描开发人员提交到线上的代码的安全性,从而限制不安全的代码上线,减少线上风险。

2. 安全公司

安全公司为互联网公司进行安全测试时,可以通过Cobra的全局项目扫描功能对甲方的所有项目进行自动代码安全审计。

3. 白帽

白帽们可以通过定制完善Cobra扫描规则, 对开源项目进行代码审计,发现其中漏洞。

0x02 应用场景

1.漏洞出现前(检测)

我们将互联网上常见的漏洞梳理为Cobra的检测规则,能够在漏洞被白帽子发现前就扫描出风险点并解决,防范于未然。

例: 提前检测代码中是否存在高危文件(.tar.gz/.rar/.bak/.swp),可以避免高危文件被下载。

2.漏洞出现中(扫描)

当企业收到白帽子提交的漏洞后,企业会在第一时间修复漏洞,并可以通过Cobra来添加扫描规则检测企业的所有项目是否存在类似漏洞。

例: 出现了ImageMagick漏洞后,可以通过Cobra设置扫描规则对历史所有项目进行快速扫描,几分钟内就能知道企业数十个项目中哪些有用到ImageMagick组件,哪些存在漏洞,哪些可以免疫。

3.漏洞出现后(限制)

当企业修复漏洞后,可以通过设置修复/验证规则来限制以后所有提交的代码都需要过修复/验证规则,否则不予上线,减少相同漏洞再次出现的可能性。

0x03 项目演示

Cobra自助扫描

MANUAL.png

Cobra扫描报告

REPORT.png

Cobra管理后台

MANAGE.png

0x04 链接

主页: http://wufeifei.github.io/cobra
文档: https://github.com/wufeifei/cobra/wiki