ChatGPT遇上CodeQL?深信服專家2023世界信息安全大會(huì)思路分享

  • 人閱讀
  • 2023-03-24 16:54:01

  • 來(lái)源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

傳統(tǒng)用CodeQL進(jìn)行漏洞挖掘,生成的結(jié)果誤報(bào)較多,影響效率;那么,如果融入ChatGPT和RASP呢?

3月21日,由Informa Markets主辦的2023 INSEC WORLD 世界信息安全大會(huì)以“聚焦安全 打造多元新格局“為主題,在西安國(guó)際會(huì)展中心會(huì)議樓拉開帷幕。作為一次匯聚各界意見(jiàn)領(lǐng)袖和技術(shù)專家的行業(yè)開年盛會(huì),大會(huì)邀請(qǐng)到逾50位海內(nèi)外優(yōu)秀行業(yè)大咖分享安全實(shí)踐經(jīng)驗(yàn)及最新技術(shù)。

深信服創(chuàng)新研究院技術(shù)專家高勇杰受邀在「漏洞與攻防安全」分論壇中的進(jìn)行演講,分享議題《CodeQL漏洞挖掘之旅》。議題詳細(xì)講解CodeQL使用思路,以及一個(gè)區(qū)別于主流使用的利用CodeQL進(jìn)行半自動(dòng)化挖掘漏洞的方式。結(jié)合當(dāng)下熱門的chatGPT工具,分享了在CodeQL的使用和工作方式的新感悟,可以有效提升漏洞挖掘效率。

區(qū)別于主流使用CodeQL的漏洞挖掘方式

在演講中,高勇杰使用SecExample開源靶場(chǎng)進(jìn)行實(shí)際案例的演示,講解不將CodeQL作為掃描工具使用,而是利用CodeQL的分析能力,協(xié)助進(jìn)行代碼審計(jì),盡可能的減少在代碼審計(jì)時(shí)的工作量。

CodeQL+ChatGPT+RASP,實(shí)現(xiàn)高效自動(dòng)化

高勇杰總結(jié)道,CodeQL目前還存在著一些缺陷,例如QL規(guī)則需要不斷迭代、掃描結(jié)果存在誤報(bào)等等,僅使用CodeQL也無(wú)法完成完整的代碼審計(jì)流程閉環(huán)等問(wèn)題。

針對(duì)以上問(wèn)題,高勇杰也分享了一套借助ChatGPT與RASP技術(shù)的全自動(dòng)化漏洞挖掘方式,不僅可解決QL規(guī)則的迭代、掃描規(guī)則誤報(bào)問(wèn)題,且完成了代碼審計(jì)流程的閉環(huán)。

CodeQL做初步審計(jì),提取關(guān)鍵代碼塊后交由ChatGPT驗(yàn)證,并基于RASP技術(shù)避免了POC生成不穩(wěn)定對(duì)結(jié)果的影響,使結(jié)果更加穩(wěn)定、可靠。最終實(shí)現(xiàn)高效、精準(zhǔn)的漏洞挖掘。

深信服千里目安全技術(shù)中心-創(chuàng)新研究院一直致力于安全和云計(jì)算領(lǐng)域的核心技術(shù)前沿研究,推動(dòng)技術(shù)創(chuàng)新變革與落地,擁有安全和云計(jì)算領(lǐng)域500+ 專利,實(shí)現(xiàn)攻擊和檢測(cè)技術(shù)的相互賦能,并及時(shí)把能力輸入到業(yè)務(wù)線中,實(shí)現(xiàn)自身產(chǎn)品的迭代優(yōu)化。未來(lái),深信服千里目安全技術(shù)中心也將不斷提高專業(yè)技術(shù)造詣,深度洞察網(wǎng)絡(luò)安全威脅,持續(xù)為網(wǎng)絡(luò)安全賦能。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )