Oggi ne parleremo di uno nuovo nel mondo della sicurezza dell’applicazione battezzata OASI (Ollama Scanner automatizzato di intelligence per la sicurezza).
Probabilmente lo sai già, ma le vulnerabilità nel codice sono come gli acari del cibo in cucina: ci sono sempre più di quello che pensiamo! E con la crescente complessità delle moderne applicazioni, la localizzazione di questi piccoli animali diventa un vero mal di testa. Questo è doveOASI Entrare in scena, per aiutarti a vedere la realtà del codice così com’è davvero.
Ciò che rende Oasis interessante è prima di tutto il suo uso dei modelli presenti Ollama Per analizzare il tuo codice. Niente più regole statiche che risalgono a Mathusalem, ora è un’analisi intelligente e contestuale!
E lo strumento non è soddisfatto di un singolo modello di intelligenza artificiale. Utilizza diversi modelli in parallelo per analizzare il codice da diverse angolazioni. Questo approccio garantisce un rilevamento più preciso e completo di potenziali vulnerabilità. I modelli possono includere Llama2 e Codellama, ognuno dei quali fornisce la loro competenza specifica.
E poiché il tempo è denaro, il suo sistema di cache memorizza gli incorporamenti (rappresentazioni vettoriali) del codice per 7 giorni per impostazione predefinita. Questi incorporamenti vengono quindi salvati in un file EmbEddings_Cache.pkl nella directory di input, consentendo analisi ultra-rapide ripetute.
Oasis genera quindi una struttura di report organizzata e completa: un file per modello utilizzato, sottocartelle per ciascun formato (Markdown, PDF, HTML), report dettagliati per tipo di vulnerabilità, riassunti esecutivi perfetti per le riunioni.
Un’altra caratteristica potente è la modalità di audit che consente di analizzare la distribuzione degli incorporamenti nel codice, offrendo così una panoramica più in profondità dei modelli di sicurezza.
Per usarlo, dovrai avere Python> 3.7, ollama installato e funzionale.
python3 -m pip install --user pipx
python3 -m pipx ensurepath
git clone https://github.com/psyray/oasis.git
cd oasis
pipx install --editable .
Quindi, per una semplice analisi:
oasis /chemin/vers/votre/code
E per un’analisi personalizzata:
oasis /chemin/vers/votre/code \ --cache-days 7 \ --threshold 0.5 \ --vulns xss,sqli \ --embed-model nomic-embed-text \ --models llama2,codellama \ --extensions .php,.js,.py \ --audit
L’oasi copre un ampio spettro di vulnerabilità:
- SQLI : Iniezioni di SQL
- XSS : Scripting tramite
- Convalida dell’input : Convalida insufficiente di voci
- Esposizione ai dati : Esposizione di dati sensibili
- Sessione di gestione : Problemi di gestione delle sessioni
- Configurazione : Errori di configurazione
- Registrazione : Registrazione di dati sensibili
- Cripto : Uso errato delle funzioni crittografiche
Per ottimizzare l’uso dell’oasi, diverse pratiche raccomandate meritano di essere implementate. Prima di tutto, è essenziale automatizzare le analisi integrando l’Oasi direttamente nella pipeline CI/CD, che consente una rilevazione continua e precoce di anomalie. L’ottimizzazione delle soglie è anche cruciale, quindi prenditi il tempo per regolare la soglia in base alle tue esigenze specifiche e al livello desiderato di sensibilità per il tuo progetto.
La diversificazione dei modelli è un altro aspetto importante dell’ottimizzazione. Combinando diversi modelli di analisi, si ottiene una copertura più completa e affidabile dei tuoi dati.
E la gestione della cache non deve essere trascurata: utilizzare regolarmente il comando –clear-cache per mantenere prestazioni ottimali ed evitare l’accumulo di dati obsoleti.
Qui, con ciò, anche se non sostituirà una buona squadra di piste, consentirà di automatizzare i controlli di sicurezza intelligenti sul tuo codice.
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments