Kode Sumber yang Aman

1. Ringkasan

Teknik kode sumber yang aman adalah serangkaian praktik yang dapat digunakan untuk meningkatkan keamanan kode sumber. Teknik ini dapat membantu mengidentifikasi dan memperbaiki kerentanan dalam kode sumber, mencegah akses tidak sah ke kode sumber, dan melindungi kode sumber agar tidak dimodifikasi.

Beberapa teknik kode sumber yang aman umum meliputi:

  • Linting: Linting adalah proses pemeriksaan kode sumber untuk menemukan error dan masalah gaya. Hal ini dilakukan dengan menggunakan alat lint, yang merupakan program yang menganalisis kode sumber dan mengidentifikasi potensi masalah. Alat Lint dapat digunakan untuk memeriksa berbagai error, termasuk error sintaksis, error semantik, error gaya, dan kerentanan keamanan.
  • Pengujian keamanan aplikasi statis (SAST): SAST adalah jenis pengujian keamanan yang menganalisis kode sumber, kode biner, atau kode byte untuk mengidentifikasi kerentanan keamanan. Alat SAST dapat digunakan untuk menemukan kerentanan dalam berbagai bahasa pemrograman, termasuk Go, Java, Python, C++, dan C#.
  • Pemindaian lisensi: Pemindaian lisensi adalah proses mengidentifikasi lisensi komponen software pihak ketiga yang digunakan dalam aplikasi software. Hal ini penting karena membantu memastikan bahwa aplikasi mematuhi persyaratan lisensi, yang dapat membantu menghindari masalah hukum.

Teknik ini dapat digunakan untuk meningkatkan keamanan kode sumber di semua tahap siklus proses pengembangan software. Linting dapat digunakan untuk mengidentifikasi error pada tahap awal proses pengembangan, SAST dapat digunakan untuk menemukan kerentanan sebelum kode dikompilasi atau di-deploy, dan pemindaian lisensi dapat digunakan untuk memastikan bahwa aplikasi mematuhi persyaratan lisensi.

Menggunakan teknik ini dapat membantu meningkatkan keamanan kode sumber dan mengurangi risiko pelanggaran keamanan.

Yang akan Anda pelajari

Lab ini akan berfokus pada alat dan teknik untuk mengamankan kode sumber software.

  • Analisis lint
  • Pengujian Keamanan Aplikasi Statis
  • Pemindaian Lisensi

Semua alat dan perintah yang digunakan dalam lab ini akan dilakukan di Cloud Shell.

2. Penyiapan dan Persyaratan

Penyiapan lingkungan mandiri

  1. Login ke Google Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. Jika belum memiliki akun Gmail atau Google Workspace, Anda harus membuatnya.

b35bf95b8bf3d5d8.png

a99b7ace416376c4.png

bd84a6d3004737c5.png

  • Project name adalah nama tampilan untuk peserta project ini. String ini adalah string karakter yang tidak digunakan oleh Google API. Anda dapat memperbaruinya kapan saja.
  • Project ID bersifat unik di semua project Google Cloud dan tidak dapat diubah (tidak dapat diubah setelah ditetapkan). Cloud Console otomatis membuat string unik; biasanya Anda tidak mementingkan kata-katanya. Di sebagian besar codelab, Anda harus merujuk Project ID-nya (biasanya diidentifikasi sebagai PROJECT_ID). Jika tidak suka dengan ID yang dibuat, Anda dapat membuat ID acak lainnya. Atau, Anda dapat mencobanya sendiri dan melihat apakah ID tersebut tersedia. ID tidak dapat diubah setelah langkah ini dan akan tetap ada selama durasi project.
  • Sebagai informasi, ada nilai ketiga, Project Number yang digunakan oleh beberapa API. Pelajari lebih lanjut ketiga nilai ini di dokumentasi.
  1. Selanjutnya, Anda harus mengaktifkan penagihan di Konsol Cloud untuk menggunakan resource/API Cloud. Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Guna mematikan resource agar tidak menimbulkan penagihan di luar tutorial ini, Anda dapat menghapus resource yang dibuat atau menghapus seluruh project. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell Editor

Lab ini dirancang dan diuji untuk digunakan dengan Editor Google Cloud Shell. Untuk mengakses editor:

  1. Akses project Google Anda di https://console.cloud.google.com.
  2. Di pojok kanan atas, klik ikon editor cloud shell

8560cc8d45e8c112.png

  1. Panel baru akan terbuka di bagian bawah jendela
  2. Klik tombol Open Editor

9e504cb98a6a8005.png

  1. Editor akan terbuka dengan penjelajah di sebelah kanan dan editor di area tengah
  2. Panel terminal juga harus tersedia di bagian bawah layar
  3. Jika terminal TIDAK terbuka, gunakan kombinasi tombol `ctrl+`` untuk membuka jendela terminal baru

Penyiapan Lingkungan

Tetapkan GOPATH ke satu direktori untuk menyederhanakan perintah yang digunakan dalam lab ini.

export GOPATH=$HOME/gopath

Buat direktori untuk menyimpan pekerjaan kita

mkdir -p workspace
cd workspace

Buat clone repositori kode sumber

git clone https://gitlab.com/gcp-solutions-public/shift-left-security-workshop/source-code-lab.git
cd source-code-lab
export WORKDIR=$(pwd)

3. Analisis lint

Linting digunakan untuk memeriksa kesalahan atau kerusakan umum berbasis gaya yang terkait dengan sintaksis. Linting membantu keamanan dengan menyediakan pola sintaksis umum di berbagai tim yang menghasilkan peninjauan kode yang lebih cepat, berbagi pengetahuan, dan kejelasan kode.

Selain itu, Linting mengidentifikasi kesalahan sintaksis umum yang dapat menyebabkan kerentanan umum seperti penggunaan library atau API inti yang tidak tepat atau kurang efisien.

Menginstal alat penautan staticcheck

 go get honnef.co/go/tools/cmd/staticcheck@latest

Jalankan Go Linter (staticcheck) di direktori root project

 staticcheck

Meninjau output

main.go:42:29: unnecessary use of fmt.Sprintf (S1039)

Anda mendapatkan error karena http.ListenAndServe() menerima String, dan kode saat ini menggunakan Sprintf tanpa meneruskan variabel ke string

Tinjau status keluar perintah.

echo $?

Dalam hal ini, karena perintah menghasilkan error, status keluar akan menjadi 1 atau lebih besar. Ini adalah salah satu metode yang dapat digunakan dalam pipeline CI/CD untuk menentukan keberhasilan/kegagalan alat.

Edit file main.go, lalu perbaiki kode:

  • Jadikan baris di bawah LINTING - Step 1 di dalam metode main() sebagai komentar, dengan menambahkan garis miring di depannya(//).
  • Hapus tanda komentar pada dua baris langsung di bawah LINTING - Step 2 di dalam metode main(), dengan menghapus garis miring di depannya.

Jalankan kembali staticcheck di direktori root project

staticcheck

Perintah tidak boleh menampilkan hasil apa pun (yaitu baris kosong).

Periksa status keluar perintah.

  echo $?

Dalam hal ini, karena perintah tidak menghasilkan error, status keluar akan menjadi nol.

4. Pengujian Keamanan Aplikasi Statis

Pengujian keamanan statis/AST - Menyediakan analisis kode statis yang mencari kelemahan dan eksposur umum ( CWE)

Instal alat AST (gosec)

    export GOSEC_VERSION="2.15.0"
    curl -sfL https://raw.githubusercontent.com/securego/gosec/master/install.sh | \
          sh -s -- -b $(go env GOPATH)/bin v${GOSEC_VERSION}

Jalankan gosec dengan file kebijakan terhadap kode sumber

gosec -conf policies/gosec-policy.json -fmt=json ./...

Output-nya akan terlihat seperti ini

{
    "Golang errors": {},
    "Issues": [
        {
            "severity": "HIGH",
            "confidence": "LOW",
            "cwe": {
                "ID": "798",
                "URL": "https://cwe.mitre.org/data/definitions/798.html"
            },
            "rule_id": "G101",
            "details": "Potential hardcoded credentials",
            "file": "/home/random-user-here/shift-left-security-workshop/labs/source-code-lab/main.go",
            "code": "31: \t// STEP 2: Change this and the reference below to something different (ie, not \"pawsword\" or \"password\")\n32: \tvar pawsword = \"im-a-cute-puppy\"\n33: \tfmt.Println(\"Something a puppy would use: \", username, pawsword)\n",
            "line": "32",
            "column": "6"
        }
    ],
    "Stats": {
        "files": 1,
        "lines": 89,
        "nosec": 0,
        "found": 1
    }
}

Alat telah mengidentifikasi potensi masalah: Potential hardcoded credentials

5. Pemindaian Lisensi

Lisensi penting untuk keamanan karena secara hukum dapat mewajibkan Anda untuk mengekspos kode sumber yang mungkin tidak ingin Anda ekspos. Konsep ini disebut lisensi "copyleft" yang mengharuskan Anda mengekspos kode sumber jika Anda menggunakan dependensi dengan lisensi tersebut.

Instal golicense

mkdir -p /tmp/golicense
wget -O /tmp/golicense/golicense.tar.gz https://github.com/mitchellh/golicense/releases/download/v0.2.0/golicense_0.2.0_linux_x86_64.tar.gz
pushd /tmp/golicense
tar -xzf golicense.tar.gz
chmod +x golicense
mv golicense $(go env GOPATH)/bin/golicense
popd

Membangun file biner

go build

Jalankan pemeriksaan lisensi dengan file kebijakan saat ini yang tidak mengizinkan lisensi "BSD-3-Clause"

golicense policies/license-policy.hcl hello-world

CATATAN: Ini akan gagal dengan output yang serupa:

 🚫 rsc.io/sampler    BSD 3-Clause "New" or "Revised" License
 🚫 rsc.io/quote      BSD 3-Clause "New" or "Revised" License
 🚫 golang.org/x/text BSD 3-Clause "New" or "Revised" License

Ubah file kebijakan policies/license-policy.hcl untuk memindahkan "BSD-3-Clause" dari daftar deny ke daftar allow.

Jalankan kembali pemeriksaan lisensi

golicense policies/license-policy.hcl hello-world

CATATAN: Perintah ini akan berhasil dengan output yang serupa:

    ✅ rsc.io/quote      BSD 3-Clause "New" or "Revised" License
    ✅ rsc.io/sampler    BSD 3-Clause "New" or "Revised" License
    ✅ golang.org/x/text BSD 3-Clause "New" or "Revised" License

6. Selamat

Selamat, Anda telah menyelesaikan codelab!

Yang telah Anda pelajari

  • Alat dan teknik untuk mengamankan kode sumber

Terakhir diperbarui: 23/3/23