Deb Radcliff 專訪 OWASP Top 10 核心團隊成員 Brian Glas
OWASP Top 10 網頁應用程式漏洞與 C 語言有何關聯?這些漏洞又如何與軟體物料清單(SBOM)產生交集?
隨著 OWASP Top 10 核心團隊開始分析 2025 年的數據,Codesonar 團隊特別邀請了四位核心成員之一的 Brian Glas 分享他的看法。Brian 自 2017 年起即參與該團隊,曾參與 2017 年、2021 年以及 2025 即將公布的 OWASP Top 10 專案。同時,他也是 OWASP 軟體保證與成熟度模型(SAMM)的核心成員,該模型是由社群主導的開源架構,旨在提升軟體開發生命週期(SDLC)中的安全性。平時,Brian 任職於田納西州傑克遜的 Union University,擔任資訊科學系主任兼助理教授。
在訪談中,Brian 表示:「雖然 OWASP Top 10 主要聚焦於網頁應用程式,但其中的議題其實也與使用 C 語言開發的應用程式有所重疊。」他進一步說明,C 語言經常以開源軟體的形式被整合進網頁應用之中。
「然而,在我們的 13 位貢獻者中,僅有 4 位實際針對 C 語言相關的漏洞進行測試,其餘 9 位則完全沒有相關數據。推測原因可能包括他們所使用的工具不支援 C 語言,或根本未針對這類漏洞進行測試。根據 2021 年的數據,我們共分析了來自 13 個來源的超過 50 萬個應用程式,但其中僅約 0.5% 被發現存在記憶體管理相關的漏洞,例如基於 stack 或 heap 的緩衝區溢位(buffer overflow)。這主要歸因於測試工具涵蓋範圍不足與測試深度不夠,導致這類漏洞在 OWASP 排名中列第 12 名,距離前 10 名並不遠。」
他進一步指出:「在 2024 年 CWE Top 25 最危險軟體弱點排名中,第二名是越界寫入(out-of-bounds write),第六名則是越界讀取(out-of-bounds read),這兩種漏洞在 C 語言程式碼中尤為常見。」
為了有效發掘這類風險,他建議使用靜態應用程式安全測試(SAST)工具,來偵測使用不安全記憶體操作函式的程式碼,並搭配模糊測試,驗證程式在邊界與極限條件下的表現。他回憶道:「我過去在微軟負責 Office 軟體時,我們是 7x24 持續進行模糊測試的。」
談到 OWASP Top 10 與軟體組件清單(SBOM)的關係,Brian Glas 指出,清單上的幾乎所有漏洞都與靜態應用程式安全測試(SAST)和 SBOM 息息相關,這主要是因為大多數應用程式都大量使用第三方程式碼。此外,他也強調需要透過掃描找出相依賴的組件,才能進一步降低風險,而 SBOM 在這方面也扮演重要角色。
資源參考:
提升 C 語言程式碼安全與品質
CodeSonar 是一款針對 C 語言開發的安全分析工具,能夠幫助開發團隊及早發現潛在的程式錯誤與安全漏洞,其深度靜態分析技術可自動檢測緩衝區溢位、空指標解引用、資源洩漏、競爭條件等關鍵問題,確保軟體的穩定性與安全性。相較於傳統分析工具,CodeSonar 具備更高的準確性與可擴展性,能夠分析數百萬行程式碼,並透過圖形化介面提供詳細的警告資訊與修復建議。
它支援 MISRA C、CERT C 等業界標準,適用於嵌入式系統、國防航太、醫療設備、汽車電子等領域。此外,CodeSonar 可與 CI/CD 流程無縫整合,幫助企業在開發早期發現問題,降低維護成本並提升產品品質。透過應用靜態應用安全測試(SAST)技術的最佳實踐,CodeSonar 能夠幫助開發團隊確保程式碼符合安全標準,同時提升開發流程的自動化和合規性,讓開發人員能夠專注於創新與效能優化。
• 深度靜態分析,發現隱藏錯誤與安全漏洞
• 強化程式碼品質與提升開發效率
• 符合業界安全標準,提升合規性與自動化開發