Giới thiệu
Chào các bạn, trong bài viết này, chúng tôi sẽ tổng hợp một số tin tức và cập nhật từ hệ sinh thái Semgrep để giúp bạn phát triển các tính năng mà không phải lo lắng về lỗ hổng bảo mật.
Nếu bạn chưa có tài khoản Semgrep, hãy đăng ký miễn phí và bắt đầu với Hướng dẫn nhanh cho bất kỳ dự án nào có ít hơn mười (10) đóng góp viên.
Nghiên cứu về Claude Code và OpenAI Codex
Nhóm Nghiên cứu Bảo mật của chúng tôi đã khám phá các tác nhân lập trình AI có thể giúp phát hiện lỗ hổng thực tế - nhưng cũng có thể gây ra nhiều tiếng ồn.
Sử dụng 11 ứng dụng Python thực tế, Claude Code đã phát hiện 46 lỗ hổng (tỷ lệ dương tính thực sự 14%) với khả năng xác định các vấn đề IDOR rất mạnh mẽ. Codex phát hiện 21 lỗ hổng (tỷ lệ TPR 18%) với sức mạnh trong việc tìm kiếm các vấn đề liên quan đến đường dẫn.
Thật không may, các lần chạy lặp lại không xác định được, do đó trong trường hợp của một ứng dụng, tác nhân đã phát hiện 3, sau đó là 6, rồi 11 kết quả khác nhau bằng cùng một yêu cầu giống hệt nhau.
Để tìm hiểu sâu hơn về dữ liệu, yêu cầu và phương pháp, hãy xem bài viết đầy đủ và bảng dữ liệu: Tìm kiếm lỗ hổng trong các ứng dụng web hiện đại bằng Claude Code và OpenAI Codex.
Cảnh báo bảo mật | Nx và NPM
Công cụ xây dựng Nx được sử dụng rộng rãi đã bị xâm phạm gần đây theo cách cho phép phần mềm độc hại đánh cắp khóa SSH, ví, mã thông báo API và các thông tin bí mật khác.
Theo thông cáo bảo mật chính thức của Nx, nguyên nhân gốc rễ là một quy trình làm việc đã thực thi mã. Tương tự, một tài khoản người duy trì cũng đã bị xâm phạm.
Đây là loại mẫu mà Semgrep được thiết kế để giúp các đội quét và phát hiện. Cụ thể, lỗ hổng này được phân loại là chèn mã thực thi. Nó thực hiện một mẫu cho phép thực thi lệnh trong shell mà kẻ tấn công có thể lừa đảo cuộc gọi và chạy lệnh đã cung cấp của riêng họ.
Hãy xem các bài viết trên blog Nghiên cứu Bảo mật chia sẻ quan sát rằng script cài đặt sau khi hoàn tất đã gửi yêu cầu đến các CLI Claude hoặc Gemini được cài đặt tại địa phương để giúp thu thập thông tin bí mật. Bạn có thể tìm hiểu thêm về nó và phản hồi của chúng tôi trong bài viết trên blog của chúng tôi.
Cập nhật phát hành hàng quý
Chúng tôi đã tổng hợp các phát hành trong vài tháng qua vào một trang Cập nhật phát hành hàng quý để chia sẻ một số điểm nổi bật về những gì đã thay đổi và những gì mới.
Hãy xem lại buổi hội thảo trên web hoặc tải xuống Bộ phát hành.
Tìm kiếm lỗ hổng trong 30 ngày đầu tiên
Câu chuyện này làm ấm lòng chúng tôi rằng Semgrep được tin tưởng và có thể cho thấy kết quả nhanh chóng. Những người bạn tại blog Trail of Bits đã chia sẻ một câu chuyện từ một trong những nhân viên mới xuất sắc của họ:
Trong tháng đầu tiên tại Trail of Bits với vai trò kỹ sư bảo mật AI/ML, tôi đã tìm thấy hai lỗi corruption bộ nhớ có thể truy cập từ xa trong NVIDIA’s Triton Inference Server trong một quy trình onboarding thông thường.
Anh ấy chia sẻ: "Cách tiếp cận của tôi rất đơn giản: sử dụng các công cụ phân tích tĩnh tiêu chuẩn của chúng tôi đối với mã nguồn... một trong những công cụ mà chúng tôi dựa vào cho việc khảo sát ban đầu là Semgrep."
Một phân tích đầy đủ về các phát hiện, quy tắc Semgrep và liên kết đến các CVE có thể được tìm thấy trong bài viết Khám phá corruption bộ nhớ trong NVIDIA Triton.
Kết nối quét mã với hậu quả trên đám mây
Thông qua một quan hệ đối tác thú vị với Sysdig, chúng tôi đã kết nối những hiểu biết về thời gian chạy của Sysdig cho những gì có thể bị khai thác trên đám mây với mã, tệp và nhà phát triển đứng sau nó để giúp đưa bối cảnh thời gian xây dựng cùng với thông tin thời gian chạy.
Tìm hiểu thêm về tầm nhìn chung của chúng tôi rằng bảo mật nên tăng tốc độ và không làm chậm phát triển hoặc các nhóm.
Cung cấp giá trị, không chỉ AI vì AI
Chúng tôi không nghĩ rằng người dùng quan tâm rằng AI được sử dụng cho các tính năng, họ quan tâm đến tác động mà nó mang lại.
Wealthsimple đã chia sẻ cách họ đang tận dụng tính năng bộ nhớ do LLM cung cấp của Semgrep với nhận xét:
"Một hệ thống học hỏi từ các quyết định bảo mật của chúng tôi và áp dụng kiến thức đó cho các lần quét trong tương lai. Việc triển khai rất đơn giản. Tất cả những gì bạn cần làm là nhấn 'bộ nhớ mới' và thêm một quy tắc mô tả về bối cảnh hoặc mẫu mà bạn muốn hệ thống nhận diện."
Họ đã nhanh chóng tạo ra mười hai bộ nhớ hoạt động để phân tích hơn 630 phát hiện bảo mật và giảm khối lượng công việc còn 397 khả năng là false positives (cải thiện 62%). Đó là tác động mà chúng tôi muốn thấy.
Đọc thêm từ blog Kỹ thuật của Wealthsimple.
Bối cảnh mô hình… Tuyên truyền
Tiến sĩ Katie Paxton-Fear và Drew Dennison đã có một cuộc trò chuyện về MCP (Model Context Protocol) và tích hợp các công cụ vào quy trình phát triển AI của bạn.
Hãy xem cuộc trò chuyện của họ và học một số mẹo để tăng tốc quy trình phát triển bảo mật của bạn.
Luôn luôn vui mừng khi chúng tôi thấy những người hâm mộ chia sẻ thành công của họ với Semgrep. Sean Kochel đã liệt kê Semgrep vào một trong 5 máy chủ Claude Code MCP mà bạn cần sử dụng.
Hãy thử Semgrep MCP với Cursor.
Kỷ niệm 1 triệu lần quét mã mỗi tuần
Các quét được quản lý của chúng tôi đã vượt qua một cột mốc mới. Nếu bạn đang quản lý khối lượng công việc của riêng mình, hãy nói chuyện với nhóm của chúng tôi về các quét được quản lý để chúng tôi có thể giúp bạn bảo vệ.
Chúng tôi cũng có Hướng dẫn nhanh về Quét được quản lý để giúp bạn bắt đầu nhanh chóng.
Cách bắt đầu với Semgrep
Nếu bạn vừa mới tìm hiểu về Semgrep, đây là một số cách để bắt đầu:
Phiên bản Community Edition của Semgrep là phần mềm mã nguồn mở miễn phí cung cấp nhiều chức năng cơ bản cho nhiều nhóm.
Nền tảng Semgrep AppSec giúp các doanh nghiệp ưu tiên rủi ro bảo mật của họ. Hãy truy cập https://semgrep.dev/signup và thử Hướng dẫn nhanh miễn phí cho bất kỳ dự án nào có ít hơn mười (10) đóng góp viên.
Nếu bạn có bất kỳ câu hỏi, phản hồi hoặc câu chuyện nào để chia sẻ về việc sử dụng Semgrep, hãy tham gia vào Slack cộng đồng và chúng ta hãy trò chuyện (Tôi là @j12y)! Nếu bạn muốn nói chuyện với chúng tôi trực tuyến hoặc gặp chúng tôi trực tiếp, hãy xem trang sự kiện để biết chúng tôi sẽ ở đâu.
