白泽SAST团队：将LLM织入SAST程序分析流程的实践

在国内外市场，静态应用安全测试（SAST）已经取得了初步的成功,但随着DevSecOps、安全左移等安全理念的出现和普及，对SAST产品在效果效率、功能易用性上需求也在不断提高。 

QUESTION

ANSWER

QUESTION

ANSWER

借助语言模型的理解转化能力，白泽SAST具有多元规则定义的特点，这意味着使用者可以以多种形式定义规则，从而方便那些不具备安全知识的人进行定制化的检测。在实践中，我们通过语言模型对开源组件文档进行规模化知识提取，形成包括入口发现、流分析、权限原则等在内的规则集，针对性提高0-Day漏洞发现能力。

多元规则定义的特点能够允许开发人员使用简单直观的界面或自然语言来定义规则，而无需深入了解安全技术的细节，提高了安全策略的可行性和执行效率，符合安全左移的原则。

SAST分析包括source/sink定义、控制流分析、数据流分析、漏洞确认等阶段。通过在各个任务阶段集成LLM，程序分析可以更具有泛化性，从而更好地应对数量日趋膨胀的各类开源组件。另外，我们利用AI-summary策略，进一步优化并提升对复杂程序逻辑进行细粒度分析的能力，使得发现“深层逻辑漏洞”成为可能。

在漏洞确认、复查等阶段，通过结合LLM，也能够输出更清晰明了的漏洞检出解释，帮助用户更轻松地排查和理解安全告警。

语言模型的分析是知识型的，具备业务逻辑理解概括能力；SAST算法的分析是符号型的，严谨细致，能够分辨细粒度代码差异。为了最大化发挥两者优势，我们设计了一套智能调度算法来在分析运行时根据程序状态、分析局部结果、复杂度等多维因素调度语言模型与符号算法，用统一形式将LLM无缝织入分析流程，最大化释放语言模型的分析潜力。

通过LLM，将知识型的分析方法和思路应用于分析中，工具对代码理解从符号逻辑提升到语义层面，有助于减少误报从而降低人工开销。

本研究团队在Tomcat、Dubbo、Elasticsearch等流行Java开源组件上对SAST工具进行了漏洞挖掘任务的实践，截止目前，该工具发现被确认漏洞100余个，被分配20+个独立CVE编号。

开源组件具有代码层次深、逻辑多样化的特点，LLM对代码的理解推理能力是我们检出漏洞的重要保障。比如，在Tomcat、Dubbo、SOFA RPC上发现诸如反序列化、信息窃取、数据注入、时序攻击等逻辑敏感型漏洞，它们大多涉及与业务逻辑紧密相关的代码语义，并隐藏在调用栈深层，这也是它们在流行组件中“潜伏已久”的原因。白泽SAST团队在对漏洞检出和解释信息的评测中发现，LLM在入口发现、代码摘要、Sink扩展、数据流复查等阶段均能发挥重要作用，如对这个漏洞的数据流事实进行修饰，从而能够发现该漏洞。